PDF de programación - Linux Security HOWTO

Linux Security HOWTO

Kevin Fenzi, [email protected] y Dave Wreski, [email protected]
v1.0.2, 25 Abril 1999

Este documento es una vista general sobre asuntos relativos a la seguridad a los que
tiene que enfrentarse un administrador de sistemas Linux. Cubre algo de filosofia
generica sobre seguridad asi como ejemplos especificos de como hacer que su
sistema Linux sea mas seguro frente a los intrusos. Tambien se incluyen punteros a
documentacion y programas relacionados con la seguridad. Las mejoras, criticas
constructivas, aportaciones y correcciones son aceptadas con agrado. Si desea
ponerse en contacto con los autores, puede hacerlo mediante correo electronico,
poniendo la frase “Security HOWTO” en el asunto del mensaje.

Resumen del Contenido
1.

Introduccion

1.1 Nuevas versiones de este documento
1.2 Contacto con los autores
1.3 Garantia
1.4 Informacion de copyright

2.

Vista preliminar

2.1 ¿Por que se necesita seguridad?
2.2 ¿Que tan seguro es “seguro”?
2.3 ¿Que es lo que se intenta proteger?
2.4 Desarrollando una politica de seguridad
2.5 Formas de asegurar su sistema

2.5.1
2.5.2
2.5.3

Seguridad basada en la maquina
Seguridad de red
Seguridad a traves de la oscuridad

2.6 Organizacion de este documento

3.

Seguridad fisica

3.1 La “cerradura” de los ordenadores
3.2 La seguridad del BIOS
3.3 Seguridad del gestor de arranque
3.4 xlock y vlock
3.5 Detectando compromisos en la seguridad fisica

Seguridad local

4.1 Creando nuevas cuentas
4.2 La seguridad de Root

Archivos y sistemas de archivos

5.1 Configuracion de “umask”
5.2 Permisos de los archivos
5.3 Chequeando la integridad con Tripwire
5.4 Caballos de Troya

4.

5.

6.

Contraseñas y encriptacion
6.1 El PGP y la criptografia de llave publica
6.2 SSL, S-HTTP, HTTPS y S/MIME
6.3 Implementaciones IPSEC para Linux
6.4 SSH (secure shell) y stelnet
6.5 PAM - modulos de autentificacion
6.6 Encapsulacion criptografica del protocolo IP (CIPE)
6.7 Kerberos
6.8 Shadow Passwords.
6.9 “Crack” y “John the Ripper”
6.10 CFS - Cryptographic File System y TCFS - Transparent Cryptographic File

System

6.11 X11, SVGA y la seguridad de la pantalla

6.11.1 X11
6.11.2 SVGA

7.

8.

6.11.3 GGI (Generic Graphics Interface project)
Seguridad en el Kernel

7.1 Opciones de compilado para kernels 2.0.x
7.2 Opciones de compilado para kernels 2.2.x
7.3 Dispositivos del Kernel
Seguridad de red

8.1 “Packet Sniffers”
8.2 Servicios del sistema y los “tcp_wrappers”
8.3 Verifique su informacion DNS
8.4 Identd
8.5 SATAN, ISS y otros Scanners de red

8.5.1 Detectando un escaneo de puertos

8.6 Sendmail, qmail y los MTA’s
8.7 Ataques de denegacion de servicio
8.8 Seguridad NFS (Network File System)
8.9 NIS (Network Information Service) (antiguamente YP).
8.10Cortafuegos (firewalls)
8.11IP Chains - Cortafuegos de los kernels de Linux 2.2.x
8.12VPN’s - Virtual Private Networks
9.
maquina a la red)

Preparacion de la seguridad (antes de conectar la

9.1 Haga una copia de seguridad completa de su maquina
9.2 Planificando una buena politica de copias de seguridad
9.3 Haga una copia de la base de datos RPM o Debian
9.4 Este pendiente de la informacion de registro del sistema
9.5 Aplique todas las actualizaciones del sistema que le sea posible
10. Que hacer durante y despues de una intrusion

10.1
10.2

Compromisos de la seguridad en curso
El compromiso de seguridad ya ha sucedido

10.2.1 Cerrando el agujero
10.2.2 Evaluando los daños
10.2.3 Copias de seguridad, copias de seguridad, copias de seguridad!
10.2.4 Rastreando al intruso

11. Recursos de seguridad

11.1
11.2
11.3
11.4

Sitios FTP
Sitios Web
Listas de correo
Libros - material de lectura impreso

12. Glosario

13. Preguntas realizadas con frecuencia (FAQ’s)

14. Conclusion

15. Agradecimientos

1.

Introduccion

Este documento aborda algunos de los principales temas que afectan a la seguridad
bajo Linux. Se tratan temas de seguridad genericos asi como recursos nacidos de la
propia red Internet.
Otros HOWTOW’s tratan tambien algunos temas relativos a la seguridad, y se le
remitira a ellos cuando sea apropiado.
Este documento no pretende ser un listado de “exploits” de actualidad. En el se
trataran algunos metodos genericos que le haran menos vulnerable a dichos “exploits”,
asi como se mencionaran otras fuentes de informacion donde podra encontrar tales
listas de “exploits” de actualidad.

1.1. Nuevas versiones de este documento

Las nuevas versiones de este documento seran enviadas periodicamente a
comp.os.linux.answers. Tambien seran incluidas en los distintos sitios de FTP anonimo
que almacenan esta informacion, incluyendo:
ftp://metalab.unc.edu/pub/Linux/docs/HOWTO
Ademas, generalmente podra encontrar este documento la pagina “home” de Linux
World Widw Web en:
http://metalab.unc.edu/mdw/linux.html
Finalmente, la version mas reciente de este documento deberia estar tambien
disponible en varios formatos en:
http://scrye.com/~kevin/lsh/

1.2. Contacto con los autores

Todos los comentarios, informes de errores, informacion adicional y criticas de
cualquier tipo deberian dirigirse a:

[email protected]
y
[email protected]
Nota: Por favor envie lo que sea a AMBOS autores. Asegurese de incluir las palabras
“Linux”, “security” o “HOWTO” en el asunto del mensaje para evitar que sea eliminado
por los filtros “anti-spam”.

1.3. Garantia

No se responde de la veracidad del contenido de este documento. Utilice los
conceptos, ejemplos y demas contenido bajo su propia responsabilidad. Ademas, esta
es una version inmadura del documento, y posiblemente tiene incorrecciones o
errores.
Un gran numero de los ejemplos y descripciones siguen la estructura de un sistema
Linux con la distribucion RedHat. Su caso puede ser diferente.

Por lo que sabemos, los programas mencionados en este documento pueden
utilizarse libremente para uso personal bajo ciertos terminos. La mayoria
de los programas estan disponibles, incluyendo el codigo fuente, bajo la
licencia GNU <http://www.gnu.org/copyleft/gpl.html>

1.4.

Informacion de Copyright

(N. del T: mis conocimientos legales no llegan para poder traducir esto)
This document is copyrighted ©1998,1999 Kevin Fenzi and Dave Wreski, and
distributed under the following terms:



Linux HOWTO documents may be reproduced and distributed in whole or in part, in
any medium, physical or electronic, as long as this copyright notice is retained on
all copies. Commercial redistribution is allowed and encouraged; however, the
authors would like to be notified of any such distributions.

 All translations, derivative works, or aggregate works incorporating any Linux
HOWTO documents must be covered under this copyright notice. That is, you may
not produce a derivative work from a HOWTO and impose additional restrictions on
its distribution. Exceptions to these rules may be granted under certain conditions;
please contact the Linux HOWTO coordinator at the address given below.
If you have questions, please contact Tim Bynum, the Linux HOWTO coordinator,
at



[email protected]

2. Vista preliminar

Este documento tratara de explicar algunos procedimientos y software comunmente
utilizado para ayudar a que su sistema Linux sea mas seguro. Es importante discutir
primero algunos conceptos basicos, y tener claros los fundamentos antes de continuar.

2.1. ¿Por que se necesita seguridad?

En el mundo siempre cambiante de las comunicaciones globales, conexiones baratas
a Internet y desarrollo rapido de software, la seguridad es un asunto que cada vez
cobra mayor importancia. La seguridad es ahora un requisito basico ya que las
comunicaciones globales son inherentemente inseguras. Cuando la informacion va de
un punto A a otro punto B en Internet esta atravesando multitud de otros sistemas
donde otros usuarios pueden interceptarla e incluso alterarla. Incluso en su propio
sistema, un usuario malicioso puede transformar sus datos en algo diferente. El
acceso no autorizado a su sistema puede ser perpetrado por intrusos, tambien
conocidos como “crackers”, quienes utilizan sus conocimientos avanzados para
suplantarle, robarle informacion, e incluso impedirle el acceso a sus propios recursos.
Si se esta preguntando cual es la diferencia entre un “cracker” y un “hacker”, vea el
documento de Eric Raymond titulado “Como llegar a ser un Hacker”, disponible en:

http://sagan.earthspace.net/~esr/faqs/hacker-howto.html

2.2. ¿Que tan seguro es “seguro”?

En primer lugar, tenga siempre en mente que ningun sistema informatico puede ser
“completamente seguro”. Todo lo que se puede hacer es ir incrementando la dificultad
con la que un intruso puede comprometer su sistema. Para el usuario domestico
medio de Linux, no se necesita demasiado para mantener a raya a los crackers
casuales. Los usuarios de sistemas Linux orientados a negocio (bancos, compañias de
telecomunicaciones, etc) tendran mucho mas trabajo.
Otro factor que debe tener en consideracion es que cuanto mas seguro sea su
sistema, mas intrusiva sera su seguridad. Debe decidir el punto de equilibrio entre la
facilidad de uso y la seguridad que necesita. Por ejemplo, puede hacer que para que
alguien pueda establecer una conexion remota sea su sistema el que les llame a casa,
pero si alguien no esta alli no podra conectarse. Tambien puede configurar su sistema
Linux para que no realize ninguna conexion a Internet, pero esto limitaria su utilidad.

Si su sistema es mediano o grande, deberia establecer una politica de seguridad
teniendo en cuenta cuanta seguridad se necesita y como se chequeara esa seguridad.
Puede encontrar un ejemplo de politica de seguridad bien conocida en el documento:

http://ds.internic.net/rfc/rfc2196.txt