PDF de programación - Guía de seguridad - Red Hat Enterprise Linux 6

Red Hat Enterprise Linux 6

Gu�a de seguridad

Edición 1.5

Guía para proteger a Red Hat Enterprise Linux

Last Updated: 2017-10-29

Red Hat Enterprise Linux 6 Gu�a de seguridad
Guía para proteger a Red Hat Enterprise Linux
Edición 1.5

Legal Notice

Copyright © 2011 Red Hat, Inc.

This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0
Unported License. If you distribute this document, or a modified version of it, you must provide
attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat
trademarks must be removed.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert,
Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity
logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other
countries.

Linux ® is the registered trademark of Linus Torvalds in the United States and other countries.

Java ® is a registered trademark of Oracle and/or its affiliates.

XFS ® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States
and/or other countries.

MySQL ® is a registered trademark of MySQL AB in the United States, the European Union and
other countries.

Node.js ® is an official trademark of Joyent. Red Hat Software Collections is not formally related to
or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack ® Word Mark and OpenStack logo are either registered trademarks/service marks
or trademarks/service marks of the OpenStack Foundation, in the United States and other countries
and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or
sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

Resumen

Este libro ayuda a los usuarios y administradores en el aprendizaje de los procesos y prácticas en
la protección de estaciones de trabajo contra intrusos remotos o locales, explotación o actividad
maliciosa. Enfocada en Red Hat Enterprise Linux pero describiendo conceptos y técnicas válidas
para todos los sistemas de Linux, esta guía describe la planeación y herramientas que tienen que
ver en la creación de un entorno informático seguro para el centro de datos, el sitio de trabajo y el
hogar. Con el conocimiento administrativo adecuado, vigilancia y herramientas, los sistemas que
ejecutan Linux pueden ser completamente funcionales y estar protegidos de los métodos más
comunes de intrusión y de explotación.

Table of Contents

Table of Contents

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CAPÍTULO 1. VISIÓN GENERAL DE SEGURIDAD

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CAPÍTULO 2. CÓMO PROTEGER LA RED

1.1. INTRODUCCIÓN A SEGURIDAD

1.1.1. ¿Qué es la seguridad informática?

1.1.1.1. ¿Cómo surgió la seguridad informática?
1.1.1.2. La seguridad actual
1.1.1.3. Estándares de seguridad

1.1.2. SELinux
1.1.3. Controles de seguridad

1.1.3.1. Controles físicos
1.1.3.2. Controles técnnicos
1.1.3.3. Controles administrativos

1.1.4. Conclusión

1.2. EVALUACIÓN DE VULNERABILIDAD

1.2.1. Pensar como el enemigo
1.2.2. Definición de evaluación y prueba

1.2.2.1. Establece una metodología

1.2.3. Evaluación de herramientas

1.2.3.1. Cómo escanear hosts con Mmap

1.2.3.1.1. Uso de Nmap

1.2.3.2. Nessus
1.2.3.3. Nikto
1.2.3.4. Anticipación a sus necesidades futuras

1.3. ATACANTES Y VULNERABILIDADES

1.3.1. Breve historia de los hackers

1.3.1.1. Tonos de gris

1.3.2. Amenazas a la seguridad de la red

1.3.2.1. Arquitecturas inseguras

1.3.2.1.1. Redes de difusión
1.3.2.1.2. Servidores centralizados

1.3.3. Amenazas a la seguridad del servidor

1.3.3.1. Servicios no utilizados y puertos abiertos
1.3.3.2. Servicios sin parches
1.3.3.3. Administración inatenta
1.3.3.4. Servicios intrínsecamente inseguros

1.3.4. Amenazas a la estación de trabajo y a la seguridad del computador personal

1.3.4.1. Malas contraseñas
1.3.4.2. Aplicaciones de clientes vulnerables

1.4. VULNERABILIDADES Y ATAQUES COMUNES
1.5. ACTUALIZACIONES DE SEGURIDAD

1.5.1. Actualización de paquetes
1.5.2. Cómo verificar paquetes firmados
1.5.3. Cómo instalar paquetes firmados
1.5.4. Cómo aplicar los cambios

2.1. SEGURIDAD DE ESTACIÓN DE TRABAJO

2.1.1. Evaluación de la seguridad de la estación de trabajo
2.1.2. BIOS y seguridad del gestor de arranque

2.1.2.1. Contraseñas de BIOS

2.1.2.1.1. Cómo proteger las plataformas que no son x-86

2.1.2.2. Contraseñas de gestor de arranque

7
7
7
7
8
9
9
9
10
10
10
10
11
11
12
13
13
14
14
14
15
15
15
15
16
16
16
16
17
17
17
17
18
18
19
19
19
19
23
24
24
25
26

29
29
29
29
29
30
30

1

Guía de seguridad

2.1.2.2.1. Contraseña de protección de GRUB

2.1.3. Seguridad de contraseña

2.1.3.1. Cómo crear contraseñas fuertes

2.1.3.1.1. Metodología para la creación de una contraseña segura

2.1.3.2. Cómo crear contraseñas de usuario dentro de una organización

2.1.3.2.1. Cómo forzar contraseñas fuertes
2.1.3.2.2. Frases de paso
2.1.3.2.3. Caducidad de las contraseñas

2.1.4. Controles administrativos

2.1.4.1. Permitir acceso de root
2.1.4.2. Desactivación del acceso root

2.1.4.2.1. Desactivación del shell de root
2.1.4.2.2. Desactivación de los nombres de usuario de root
2.1.4.2.3. Desactivación de los nombres de usuario de root SSH
2.1.4.2.4. Desactivación de root mediante PAM

2.1.4.3. Limitación del acceso de root

2.1.4.3.1. El comando su
2.1.4.3.2. El comando sudo

2.1.5. Servicios de red disponibles

2.1.5.1. Riesgos para los servicios
2.1.5.2. Identificación y configuración de servicios
2.1.5.3. Servicios inseguros
2.1.6. Cortafuegos personales
2.1.7. Herramientas de comunicación de Seguridad Mejorada

2.2. SEGURIDAD DEL SERVIDOR

2.2.1. Cómo proteger servicios con envolturas TCP y xinetd

2.2.1.1. Cómo mejorar la seguridad con envolturas TCP

2.2.1.1.1. Envolturas TCP y pancartas de conexión
2.2.1.1.2. Envolturas TCP y Advertencias de ataques
2.2.1.1.3. Envolturas TCP e ingreso mejorado

2.2.1.2. Cómo mejorar la seguridad con xinetd

2.2.1.2.1. Cómo establecer una trampa
2.2.1.2.2. Cómo controlar recursos de servidor

2.2.2. Cómo proteger a Portmap

2.2.2.1. Proteja a portmap con envolturas TCP
2.2.2.2. Proteja a portmap con iptables

2.2.3. Cómo proteger a NIS

2.2.3.1. Planee cuidadosamente la red
2.2.3.2. Utilice un nombre de dominio NIS como contraseña y el nombre de host.
2.2.3.3. Edite el archivo /var/yp/securenets
2.2.3.4. Asigne puertos estáticos y utilice reglas de iptables
2.2.3.5. Utilice autenticación de kerberos

2.2.4. Cómo proteger a NFS

2.2.4.1. Planee cuidadosamente la red
2.2.4.2. Tenga cuidado con los errores de sintaxis
2.2.4.3. No utilice la opción no_root_squash
2.2.4.4. Configuración de cortafuegos NFS

2.2.5. Cómo proteger el servidor HTTP de Apache
2.2.6. Cómo proteger FTP

2.2.6.1. Pancarta de saludo de FTP
2.2.6.2. Acceso de anónimo

2.2.6.2.1. Descarga de anónimo

2.2.6.3. Cuentas de usuarios

2

30
31
32
34
34
34
35
35
37
38
38
41
42
42
42
43
43
44
45
45
46
47
48
49
50
50
50
50
51
51
52
52
52
53
53
53
54
54
55
55
55
56
56
56
57
57
57
58
58
59
59
60
60

2.2.6.3.1. Cómo restringir las cuentas de usuarios

2.2.6.4. Use las envolturas TCP para controlar acceso

2.2.7. Cómo proteger a Sendmail

2.2.7.1. Limitar el ataque de Denegación del servicio
2.2.7.2. NFS y Sendmail
2.2.7.3. Usuarios de solo-correo

2.2.8. Cómo verificar los puertos que están escuchando

2.3. ENVOLTURAS TCP Y XINETD

2.3.1. Envolturas TCP

2.3.1.1. Ventajas de las envolturas TCP

2.3.2. Archivos de configuración de envolturas TCP
2.3.2.1. Cómo dar formato a las reglas de acceso

2.3.2.1.1. Comodines
2.3.2.1.2. Patrones
2.3.2.1.3. Portmap y envolturas TCP
2.3.2.1.4. Operadores

2.3.2.2. Campos de opciones\n

2.3.2.2.1. Registro
2.3.2.2.2. Control de acceso
2.3.2.2.3. Comandos de shell
2.3.2.2.4. Extensiones

2.3.3. xinetd
2.3.4. Archivos de configuración xinetd

2.3.4.1. El archivo /etc/xinetd.conf
2.3.4.2. El directorio /etc/xinetd.d/
2.3.4.3. Cómo alterar los archivos de configuración xinetd

2.3.4.3.1. Opciones de registro
2.3.4.3.2. Opciones de control de acceso
2.3.4.3.3. Opciones de vinculación y redirección
2.3.4.3.4. Opciones de administración de recursos

2.3.5. Recursos adicionales

2.3.5.1. Documentación sobre envolturas TCP instaladas
2.3.5.2. Sitios web útiles sobre envolturas TCP
2.3.5.3. Bibliografía relacionada

2.4. REDES PRIVADAS VIRTUALES (VPN)

2.4.1. ¿Cómo funciona la VPN?
2.4.2. Openswan

2.4.2.1. Visión general
2.4.2.2. Configuración
2.4.2.3. Comandos
2.4.2.4. Recursos de Openswan\n

2.5. CORTAFUEGOS

2.5.1. Netfilter e IPTables

2.5.1.1. Vision general de IPTables

2.5.2. Configuración básica de cortafuegos

2.5.2.1. Firewall Configuration Tool
2.5.2.2. Habilitar o inhabilitar el cortafuegos
2.5.2.3. Servicios fiables
2.5.2.4. O