PDF de programación - Reforzando la instalación de Debian GNU/Linux

Reforzando la instalación de Debian GNU/Linux

http://www.esdebian.org/wiki/reforzando-instala...

La mayor comunidad de Debian en español

esDebian

Buscar

¡Regístrate ya! | Ingresar

Inicio

Wiki

Artículos

Blogs

Videos

Foro

¿Qué haces?

Envíos recientes

Soplona Mi cuenta

Información

Contacto

Principal » Wiki » Seguridad » Otros

Reforzando la instalación de Debian GNU/Linux
Ver

Comentarios

1.
2.
3.
4.
5.
6.
7.
8.
9.

Introducción.
Aseguramiento físico.
Pasos previos a la instalación.
Instalación.
Limpieza.
Configuraciones.
El sistema de privilegios.
Asegurando servicios.
Referencias.
1- Introducción:
"La insignificancia es siempre una garantía de seguridad" lo dijo alguien de nombre Esopo hace más de 2500 años pero es tan vigente hoy día como lo fue
entonces. En lo que a seguridad se refiere, el concepto de costo/beneficio es, por lejos, el más importante. El nivel de seguridad que uno debe lograr debe ser
acorde al valor de lo que se desea proteger. Siempre hay un nivel mínimo de seguridad, un equipo conectado a internet debe cumplir ciertos requerimientos
básicos para evitar, por ejemplo, ser utilizado por alguien como zombi para atacar a un tercero, eso tiene que ver con la responsabilidad.
Este articulo se ordenará por ítems donde se mencionarán tareas a llevar a cabo a la hora de asegurar un sistema GNU/Linux incluso desde antes de instalar el
sistema operativo. Dado que hay diferentes niveles de seguridad, acorde a los requerimientos de la misma, cada ítem contara con una leyenda indicando a que
está orientado. Estas leyendas son:

Básico: tareas de aseguramiento mínimo que deberían llevarse a cabo en cualquier sistema.
Medio: orientado a equipos de escritorio con conexión a la red internet o servidores hogareños.
Avanzado: orientado a equipos con el fin de dar servicios de red, con o sin acceso a la red Internet.
Crítico: orientado a equipos que manejan información sensible y de confidencialidad crítica, destinados a brindar servicios de red de disponibilidad 100%.

2- Aseguramiento físico
2.1- Ambiente [Básico]
Mantener los niveles de humedad y temperatura.
2.2- Acceso al equipo [Medio]
Para lograr un nivel medio se deberá restringir el acceso a la consola del equipo y al sistema de alimentación del mismo, un nivel avanzado requerirá además
ubicar el equipo en un rack bajo llave con acceso controlado al cuarto donde este se encuentra y un sistema UPS que garantice buen tiempo de disponibilidad y
la instalación del software necesario para apagar el equipo en caso que el corte del suministro eléctrico se prolongue por demasiado tiempo. Un nivel avanzado
seguramente requiera contar con un equipo electrógeno de apoyo (si debe garantizarse disponibilidad) y acceso físico restringido con bitácora de accesos.
3- Pasos previos a la instalación
3.1- Configuración de la BIOS [Medio]
Colocar password de acceso al programa de configuración de la BIOS y restringir el orden selección de dispositivos de arranque para evitar que el sistema sea
arrancado desde un CD o Disquete.
3.2- Configuración de dispositivos en la BIOS [Avanzado]
Deshabilitar todo dispositivo de entrada/salida que no sea requerido para el funcionamiento, como puertos USB, puertos serie, puertos paralelos, disqueteras,
etc. Una vez instalado el sistema es deseable también deshabilitar las lectoras de CD-DVD y cualquier otro dispositivo, igualmente el sistema operativo puede
reconocerlos si fuera necesario.
3.3- Hardware innecesario [Avanzado]
¿Necesita un servidor contar con disquetera, tarjeta de sonido, modem de acceso telefónico, lectora de tarjetas, puertos USB frontales?
Seguramente no, quitemos todo eso del equipo ya que solo sirven para consumir energía y producir calor.

1 de 10

28/06/12 18:15

Reforzando la instalación de Debian GNU/Linux

http://www.esdebian.org/wiki/reforzando-instala...

¿Y para que quieres un mouse si solo instalarás el sistema en modo texto? Quita eso también.
4- Instalación
4.1- Selección del medio [Medio]
Instalar el sistema base a partir de un CD de instalación que no requiera conexión a internet, el origen de este CD debe estar verificado así como su integridad
mediante el cálculo del hash md5. El sistema no debe conectarse a la red hasta no realizar el total aseguramiento del equipo.

4.2- Diseño del sistema de archivos [Avanzado]
Hay ciertos aspectos que deberemos tener en cuenta a la hora de diseñar el sistema de archivos.
Será deseable en primer lugar crear particiones separadas para /home, /usr, /var, /tmp, /boot ademas de, por supuesto, / y el área de intercambio.
Algunas consideraciones a tener en cuenta para cada partición:
Partición /
* Tamaño: si bien, se debe garantizar un tamaño suficiente, esto depende de que uso se le dará al equipo pero por lo general con 500MB - 1GB será suficiente.
* Opciones de montaje: una vez instalado, y si se desea hilar muy fino, se podría plantear la posibilidad de montar / como read-only, hay procesos que tendrán
problemas con esto (networking es uno de ellos) pero todo es solucionable.
Partición /home
* Tamaño: si el equipo va a ser utilizado como servidor no será necesario, en la mayoría de los casos, que tenga demasiada capacidad, con 500MB - 1GB será
suficiente.
* Opciones de montaje: no será necesario ejecutar programas ni crear dispositivos en esta partición (noexec y nodev). Nos aseguraremos igualmente que se
ignore el bit suid en esta partición para evitar inconvenientes (nosuid).
Partición /usr
* Tamaño: también depende del tipo de uso que se dará al equipo, para asegurarnos que no habrá problemas le asignaremos como mínimo 5GB.
* Opciones de montaje: no se necesitará crear dispositivos en esta partición (nodev), y tal vez no sea necesario de suid tampoco (nosuid). Una vez finalizada la
instalación y configuración podríamos plantearnos el colocar la opción de montar la partición como solo lectura.
Partición /var
* Tamaño: nuevamente depende del tipo de equipo del que se trate, aquí se alojarán los archivos de log, que pueden crecer bastante. También se requerirá de
suficiente espacio si se trata de un servidor Web con mysql o un servidor de correos. Recomiendo que, una vez decidido el tamaño de las demás particiones, se
asigne el espacio restante a esta partición
* Opciones de montaje: no necesitaremos dispositivos en esta partición ni tampoco del bit suid (nodev y nosuid), y seguramente tampoco necesitamos ejecutar
archivos (noexec), analizar este último punto para evitar comportamientos inesperados.
* Sistema de archivos: esto dependerá del tipo de servicio, es sabido que reiserfs cuenta con un mejor rendimiento que ext2/3 al trabajar con muchos archivos
pequeños por lo que podría ser recomendable para esta partición si se trata de un servidor Web, servidor de correos o un caché http.
Partición /tmp
* Tamaño: No se necesita demasiado espacio para /tmp, con 500MB-1GB debiera ser suficiente.
* Opciones de montaje: no serán necesarios dispositivos, tampoco suid ni ejecución de archivos (nodev, noexec, nosuid). Sin embargo hay aplicaciones que
durante la instalación desempaquetan y ejecutan archivos en /tmp por lo que tal vez queramos aplicar la opción noexec una vez terminadas las instalaciones.
Partición /boot
* Tamaño: no es necesario mucho, con 200MB será más que suficiente.
* Opciones de montaje: se recomienda no montar esta partición.
Partición swap
* Tamaño: se recomienda por lo general contar con un swap del doble del tamaño de la memoria física instalada pero sin superar el GB ya que no seria
necesario, un PC de escritorio con 2GB de ram probablemente nunca utilice el swap, recuerde que el swap es algo así como una memoria extra de emergencia
y es deseable que no se utilice.
Tratándose de un servidor debe tener en cuenta esto, un equipo que consuma mucha swap (digamos 1GB) estará funcionando realmente muy mal pero usted
querrá asignar una buena cantidad de swap para asegurarse de no ver los desagradables mensajes que muestra por consola un equipo que ha agotado la
memoria total disponible. Si llegado a ese punto, el kernel necesitara de más memoria, reaccionará iniciando lo que se conoce como OOM Killer, la función
badness() decidirá cual de nuestros preciados procesos debe ser sacrificado en pos de la salud del kernel, este matará el proceso y cerrará sus archivos lo cual
puede resultar desastroso, por ejemplo, para una base datos.
Por último, podría ser recomendable, si se cuenta con más de un disco, separar la partición swap y/o /var del resto del sistema.
4.3- Selección del mirror [Avanzado]
Como se mencionó anteriormente, es deseable instalar a partir de un medio óptico (CD-ROM/DVD-ROM), y a la hora de agregar los repositorios asegurarse que
sean los repositorios oficiales, nunca utilizar backports y, por supuesto, recomiendo no utilizar los repositorios non-free.
4.4- Instalación de paquetes [Medio]
Durante la instalación se nos pregunta que paquetes deseamos instalar, desplegando una lista donde nos ofrece instalar un entorno de escritorio, un sistema
básico, etc. Será deseable instalar cualquier paquete una vez finalizada la instalación del sistema base por lo que no seleccionaremos ningún paquete en esta
instancia.
4.5- Creación de usuarios y contraseñas [Básico]
Durante la instalación se nos preguntará si deseamos habilitar acceso a root, sería deseable indicar que no, crearemos entonces un usuario no privilegiado, el
cual escalará privilegios a superusuario mediante su.
La seguridad de las contraseñas es también un tema crítico, por favor, les imploro que no pongan root como contraseña de root.
A la pregunta habilitar contraseñas ocultas (shadow) contestaremos que sí. Sepa esto: si los password no se almacenan shadow cualquier usuario no
privilegiado con un simple programa como "John the ripper" puede acceder al password de root en cuestión de minutos.
4.6- Password al grub [Medio]
Tal vez no desee colocar password al grub en este momento, la razón es que se almacenará en claro en el archivo /boot/grub/menu.lst, más adelante se vo