PDF de programación - Prácticas Básicas de Seguridad en Linux

Prácticas Básicas de Seguridad en Linux

El siguiente manual constituye una guía de mandatos básicos para instalar una
estación de trabajo segura en Linux Debian. Las opciones pueden cambiar de
acuerdo a las funciones para las que se prepare la estación así como por la
distribución de linux escogida.
Por favor tenga en cuenta que estas son opciones básicas.

Antes de la Instalación

○ Identificar los servicios que se quiere proveer, a quien se les debe

proveer, y de que manera.

○ Escoger las herramientas que servirá de plataforma para ofrecer el
servicio, teniendo en cuenta como parámetro primordiales la
estabilidad, mecanismos de seguridad y eficiencia, por ejemplo se
prefiere apache2 sobre apache, porque tiene resuelto muchos bugs de
seguridad que fueron encontrados en apache, además ofrece incluido
un sistema para crear hosts virtuales seguros (ssl).

○ Identificar las contraseñas que se vayan a usar, clasificarlas por su
importancia y frecuencia de uso, identificar responsables de la
mismas, para luego aplicar a cada una de ellas la mayor cantidad de
cualidades de seguridad:

■ La longitud de la contraseña debe ser mayor o igual a 8 caracteres.
■ Contener gran variedad de caracteres alfanuméricos y especiales

(A-Z, a-z, 0-9, “!@#$%&*()_+=-?”).

■ No contener información relacionada con el trabajo o la vida

personal del administrador.

■ Cambios periódicos para la contraseña y evitar repetirlas (3 meses

en promedio).

○ Aplicar algunas características de seguridad física sobre servidores,

por ejemplo:

■ Restringir el acceso a personas que no estén autorizadas para

manejar el servidor.

■ Deshabilitar el arranque a otros medios que no sea el disco duro

del sistema operativo.

■ Colocar contraseña para acceder al sistema de Configuración del

BIOS. (Tenga cuidado de no colocarla al sistema de arranque).

■ Activar el auto-encendido ante problemas de electricidad en la

configuración del BIOS.

Durante la instalación

○ Desconectarla de la red: Los Sistema Linux en su instalación dan la
facilidad de conectarse a la red para descargar los paquetes que va a
instalar desde un repositorio. Pero durante este tiempo el sistema
operativo esta desprotegido ante usuarios maliciosos en la red, por lo
tanto se recomienda hacer este proceso de manera aislada de la red.

○ Escoger el sistema de particiones y sistema de archivos: En la mayor
parte de los casos la información que se almacena en un servidor es
tan importante que no se puede dar el lujo de perderla ni por
problemas técnicos ni por ataques desde la red.

■ Primero escogeremos el sistema de archivo para lo cual debemos
tomar en cuenta la estabilidad del mismo ya que nuestro objetivo
es evitar perder la información, por esta razón ext3 es la ganadora.
■ Luego diseñaremos un sistema de particiones que permita
contener la información separada, evitando que se desborde la
información y con el propósito que los ataques de negación de
servicios no saturen la particiones más importantes.
● El primer requerimiento se satisface separando las carpetas “/”,

de “/var”, “/usr”.

● Muchas herramientas se instalan como paquete no
perteneciente al sistema operativo en “/usr/local/”, y por eso
debemos crear una partición para esta carpeta, con el fin de no
perder la funcionalidad de estos programas si se reinstala el
sistema operativo.

● Muchos ataques de negación de servicios incrementan muy
rápidamente los datos temporales y de usuario. Por lo tanto
debemos crear particiones para “/tmp” y “/home”, para el caso
cuando existe dicho ataque saturen estas particiones y no la
principal “/”, que podría parar el funcionamiento del sistema
operativo por no haber espacio disponible para escribir.

● Y por último, crear una partición de respaldo periódicos, en caso
de alguna partición pase de un porcentaje peligroso y pueda
saturarse con el nombre de su preferencia, por ejemplo “/data”.
A continuación tenemos como ejemplo este sistemas de
particiones para un disco de 40 GB:

/
/var
/data
/usr
/home
/tmp
/usr/local

ext3
ext3
ext3
ext3
ext3
ext3
ext3

5 GB
10 GB
10 GB
5 GB
2 GB
2 GB
5 GB

swap

swap

1 GB

● Se observa que las particiones “/var” y “/data” son las más
grandes porque en ellas se almacenan la información y las
bitácoras del sistema y muchos programas.

Después de la instalación

○ Colocar una contraseña a Lilo o Grub: los gestores de arranque de
linux permiten no solo entrar al sistema operativo deseado, si no
también habilitan una consola para montar particiones con distintos
modo de acceso que podrían ofrecer la información a personas no
permitidas.

○ Para añadir la contraseña al lilo simplemente modifique y/o agregue

las siguientes lineas al archivo de configuración de lilo /etc/lilo.conf

image=/boot/2.6.16-vmlinuz
label=Linux
read-only
password=contraseña
restricted

Para que surta efecto el cambio, debe ejecutar en la consola como

usuario root:

# lilo

■ Para colocar la contraseña al gestor de arranque Grub, se generar

un hash a partir de una palabra clave:

# grub-md5-crypt
# Password: ***********
# Retype Password: ***********
# $1$q19Yf1$fV0t8Dr1rjMtxNytKUXy5/

● Luego edite el

archivo de configuración de grub
/boot/grub/menu.lst y luego del segmento “timeout” anexar la línea

password --md5 $1$q19Yf1$fV0t8Dr1rjMtxNytKUXy5/

● Por último, efectuamos los cambios con el comando siendo hda

disco duro donde se instalará el grub.

# grub-install /dev/hda

○ Detener y desactivar los servicios innecesarios y complementos:
Linux trae por defecto servicios activos por omisión que en la mayoría

de los casos no se usan al menos que se tengan conocimientos de
ellos y sea un objetivo para el servidor. Para que estos servicios no
dejen puertos abiertos tentadores para los atacantes, debemos
pararlos.

# /etc/init.d/exim4 stop
# /etc/init.d/portmap stop
# /etc/init.d/inetd stop
# /etc/init.d/fam stop
# /etc/init.d/alsa stop
# /etc/init.d/lpd stop
# /etc/init.d/nfs-common stop

Aplicar lo que vimos anteriormente mata los procesos y cierra los
puertos asociados a él, pero no impide que al reiniciar la
computadora, los servicios no se levanten de nuevo. Por esta razón
debemos quitar estos scripts del arranque de demonios del sistema
operativo “rc” haciendo

# update-rc.d -f exim4 remove
# update-rc.d -f portmap remove
# update-rc.d -f inetd remove
# update-rc.d -f fam remove
# update-rc.d -f alsa remove
# update-rc.d -f lpd remove
# update-rc.d -f nfs-common remove

Este proceso tiene también otro beneficio, liberar al procesador de
aplicaciones que no se usan, y por lo tanto hacer mas eficiente y
rápido el trabajo del sistema operativo y las demás aplicaciones.

Por ultimo, se deben desinstalar los programas de los servicios
innecesarios, de la siguiente manera:

# aptitude purge exim4 alsa fam ......

No olvidar actualizar el sistema de repositorios que maneja el
sistema en el archivos correspondiente para la distribución (para
debian /etc/apt/source.list) y agregar repositorios de seguridad
para la distribución además de los oficiales y más cercanos:

deb http://security.debian.org stable/updates main contrib non-free
deb http://security.debian.org/debian-security stable/updates main
contrib non-free

Y actualizamos los repositorios y el sistema

# aptitude update
# aptitude upgrade

● Instalar un paquete para el envío de correo a un servidor en caso

de eventos extraños:

# aptitude install ssmtp

● Y editamos el archivo de configuración /etc/ssmtp/ssmtp.conf,

cambiamos las lineas

[email protected]
mailhub=smtp-mail.ula.ve
hostname=servidor.ing.ula.ve

○ FIREWAll (IPTABLES): esta es una herramienta para el filtrado de
paquetes en capa 2, capa 3, capa 4. El buen uso de esta herramienta
incrementan significativamente la seguridad en el sistema operativo y
nos permite hacer las políticas de acceso para restringir la
conectividad a solo hosts conocidos sobre servicios requeridos.

Iptables maneja los paquetes que entran y salen de una
computadora, aceptándolos, eliminándolos, o dejando un registro
del paquete. La herramienta maneja tres tipos de políticas, INPUT
(paquetes que llegan a la computadora), OUTPUT (paquetes que
salen de la computadora), FORWARD (paquetes que entran pero
que su destino es otra computadora). Estas políticas contiene
ordenadamente reglas, que permiten filtrar los paquetes según sus
características. Para las políticas y las reglas existen acciones, que
son ACCEPT (aceptar el paquete), DROP (denegar el paquete)y
REJECT (denegar y responder con otro paquete avisando de lo
denegó). Cuando un paquete va a pasar por el firewall, primero se
identifica la política a quien pertenece, luego busca en las reglas la
primera que corresponda todos los parámetros del paquete, si la
encuentra aplica la acción, pero si no la encuentra, aplica la acción
de la política.

A continuación se mostrará una plantilla, para modificar políticas y
reglas

Políticas:

# iptables -P <política> <acción>

Reglas:

# iptables {-A | -I } <política> [{-i | -o} <interfaz>] [-s <origen>]
[-d <destino>] [-p <protocolo>] [--sport <puerto>] [--dport
<puerto>] -j <acción>

{-A | -I} <política>: -A para añadir la regla al final o -I al principio
(la opción es obligatoria).

[{-i | -o