PDF de programación - Configuración segura del ordenador

Imágen de pdf Configuración segura del ordenador

Configuración segura del ordenadorgráfica de visualizaciones

Publicado el 18 de Julio del 2017
610 visualizaciones desde el 18 de Julio del 2017
91,4 KB
8 paginas
Creado hace 15a (17/12/2004)
Configuración segura del ordenador

1. Una buena medida de protección consiste en crear los directorios /home/, /tmp/, /var/,
/boot/, /etc/ y /root/ en particiones distintas. Si no puede ser o no quieres, que sean
/home/, /tmp/ y /boot/. Y si esto tampoco puede ser, /home/ al menos.

Esta precaución no sólo complica la tarea de controlar tu equipo a un hacker, también es útil
en caso de que el disco duro sufra algún problema o hagas algún desastre como administrador
(podrás recuperar tus datos más fácilmente).

2. Pon clave de acceso a grub. Para ello procede de la siguiente forma:

a) Con ayuda de grub-md5-crypt generas tu contraseña cifrada (p.e. bqv6viye4yk1bletum).

b) La contraseña cifrada la introduces en menu.lst mediante la orden:

$ password -md5 bqv6viye4yk1bletum.

c) Comprueba que menu.lst sólo es accesible a root.

Con esto dificultas el acceso al arranque de tu equipo pero no evitas que alguien pueda
utilizar un CD de arranque. Puedes poner una contraseña a la BIOS para evitarlo pero
tampoco es un problema insalvable para los chicos malos. Aquí cada uno debe decidir dónde
parar.

3. Utiliza contraseñas ocultas y asegúrate de que el fichero shadow (situado en el directorio
/etc/) sólo es accesible a root. Sabrás que no usas contraseñas ocultas si cuando abres el
fichero passwd los usuarios aparecen definidos así:

root:$1$k1BbQvLe$Py6viTumYe4Y/:0:0:root:/root:/bin/bash
...
jcano:$B6ue$1$k1pcLe$TumYe4YPy6:500:500:José Cano:/home/jcano:/bin/bash

Cuando usas contraseñas ocultas, en tu fichero passwd los usuarios quedan definidos así:

root:x:0:0:root:/root:/bin/bash
...
jcano:x:500:500:José Cano:/home/jcano:/bin/bash

En el primer caso, las claves de los usuarios pueden verse (encriptadas, eso sí, pero aparecen),
en tanto en el segundo sólo aparece una x.

El uso de contraseñas ocultas es una mejora en la seguridad. Algunos programas necesitan
acceder al fichero passwd y esto puede crear un agujero de seguridad (caso del Netscape 4.5,
que dejaba ver las contraseñas codificadas). Por tanto, lo mejor es que las claves estén en el
archivo shadow.

4. Comprueba que el directorio /var/log/ sólo puede ser leído por el root. Si cuando accedemos
a un equipo, introducimos un nombre de usuario que no existe, se produce un error que se
registra en los archivos auth.log y syslog1. En algunas distribuciones el error que se registra
no dice qué se introdujo, pero en otras distribuciones sí se puede leer claramente que es lo que
se escribió. Esto no es un problema en sí mismo, pero todo el mundo alguna vez introduce
la clave donde debería ir el nombre de usuario, de forma que tu clave queda registrada en
esos archivos.

5. Los servicios que no se usan deberían estar cerrados y gestionados por su propio demonio, por
ello es mejor no usar los demonios inetd (o la versión mejorada xinetd) que gestionan tanto
servicios internos (echo, time,...) como externos (ftp, telnet,...). Lo normal es que sólo quera-
mos usar ssh y para esto es preferible usar el correspondiente demonio sshd. Por tanto, lo más

1Los archivos pueden ser otros dependiendo de la distribución que uses.

1

recomendable es comentar todas las líneas de los archivos /etc/inetd.conf y /etc/xinetd.conf
(en las distribuciones más modernas esto viene por defecto).

6. En el fichero /etc/securetty sólo deberían aparecer de la consola tty1 a la tty6 y de vc1 a vc6

(comenta el resto de líneas). Esto previene los ataques directos al root.

7. Comprueba que no se pueden ejecutar archivos con el bit setuserid si los valores uid y euid

no coinciden. Para ello realiza la siguiente prueba:

a) Como root escribe:

$ cp /bin/bash /tmp/kkbash
$ chmod 4555 /tmp/kkbash

b) Como usuario:

$ /tmp/kkbash
$ vi /etc/shadow

Si ves el contenido del archivo shadow, mal asunto, la única solución es actualizar el núcleo.
No te olvides de borrar kkbash.

8. Pon un protector de pantalla con clave de acceso. No pongas un tiempo de activación muy
grande (p.e. 1 hora hace inútil esta medida de seguridad), pero tampoco muy pequeño (p.e.
un salvapantallas que salta a los 5 minutos sólo sirve para que acabes hasta el gorro de él y
termines por quitarlo).

9. Si usas samba asegúrate de que los ficheros en el directorio /var/spool/lp/ sólo pertenecen
a root. De igual modo, si usas conexiones ppp protege el archivo /etc/ppp/chop-secrets o el
archivo /etc/wvdial.conf si usas el programa wvdial.

2

Medidas preventivas

10. Elimina ’.’ del path. La costumbre de ponerlo sólo sirve para ahorrarte un par de golpes de
tecla y, por contra, se facilita a los usuarios ganar privilegios de root mediante algún troyano
convenientemente colocado.

nota: No pienses que si en tu equipo sólo trabajas tú esta precaución no te afecta. El acceso
a root es (y debe) ser más difícil que a la cuenta de un usuario, de esta forma si un hacker
entra en tu equipo sólo queda comprometida una cuenta de usuario. Por ejemplo, es posible
(y una buena idea) configurar ssh para que el acceso como root sea imposible, pero esto
pierde su utilidad si alguien entra en tu ordenador y se lo pones fácil para convertirse en
administrador.

11. Elimina los archivos /etc/issue y /etc/issue.net para no dar información del sistema. Al
eliminarlos complicas la tarea de saber (desde el exterior) qué sistema operativo tienes
instalado.

12. Si sólo una persona usa el ordenador haz inmutables los archivos shadow y passwd (y las

copias shadow- y passwd-) con el comando:
$ chattr +i shadow

13. Haz inmutables los archivos de los directorios: /bin/, /sbin/, /lib/, /usr/bin/ y /usr/sbin/.

Los archivos de estos directorios no deberían ser fácilmente modificables.

14. Evita el uso de contraseñas en ficheros de usuario. Esta práctica permite pasar la contraseña
a ciertos programas, de modo que no tenemos que escribirla, pero es como dejar la llave de
tu casa debajo del felpudo. Un hacker buscará estos ficheros y se lo estás poniendo fácil para
que sepa tu contraseña.

Tampoco escribas tu contraseña en línea de comando pues puede quedar registrada en los
archivos de registro. Lo mejor es que introduzcas tu contraseña por stdin (que por otra parte
es lo habitual).

15.

sudo permite que un usuario pueda realizar ciertas tareas propias del administrador, de esta
forma no es necesario que este usuario conozca la clave del administrador. Esta opción es de
utilidad en un ordenador con varios usuarios pero es insegura. Si sólo una persona utiliza el
ordenador esta aplicación sobra.

16. Sospecha de todo script con procedencia dudosa. Y si tiene llamadas al comando system,
con más motivo. Todo script que incorpore llamadas al sistema operativo tiene que mirarse
con lupa.

17. Ten a mano un CD Live que te permita arrancar el equipo en caso de emergencia.

18. Consulta periódicamente alguna página web donde informen de las vulnerabilidades encon-

tradas en el software que tengas instalado.

3

Conexión a red

19. Con el comando ifconfig -a se obtienen los dispositivos que están a la escucha en tu equipo.
Lo normal para un equipo en la universidad es que aparezcan eth0, lo y sit0. Si aparecen
más, asegúrate de que su presencia está justificada.

nota: Una forma (que no es infalible) de detectar la presencia de un sniffer escuchando en
la red es que este comando devuelva la siguiente línea:

UP BROADCAST RUNNING PROMISC MULTICAST

Lo normal es que se lea:

UP BROADCAST RUNNING MULTICAST

20. Los dispositivos de red traen a veces una contraseña por defecto. Esta contraseña se puede
encontrar fácilmente en Internet, así que asegúrate de que cambias esta contraseña (parece
increíble, pero es de lo más común no cambiarla).

21. Asegúrate de que usas el protocolo de conexión IPv6, que es el último.

22.

Instala un cortafuegos. A mi me gusta firestarter por su sencillez y eficacia. El único punto
que te puede resultar difícil se refiere al filtro ICMP en el que recomiendo filtrar todo menos
no disponible y marcado de tiempo.

23. Cuando tengas el cortafuegos instalado (y estés desconectado de Internet) ejecuta:

$ netsat -an
Cuantos menos puertos LISTEN tengas, mejor2 (sólo deberías tener abiertos los puertos
que necesites, ni uno más). De los puertos ESTABLISHED comprueba que son conexiones
internas.

En particular comprueba que los puertos del 6000 al 6063 están cerrados, hay pocas razones
que justifiquen tenerlos abiertos y por contra son un riesgo para ti. Lo más probable es que
si los tienes abiertos es por una mala configuración de las Xwindows.

2P.e. yo sólo tengo cuatro abiertos.

4

Correo electrónico

24. Si no usas correo seguro utiliza una contraseña exclusiva para este servicio, no uses la de
usuario o la de root. El correo electrónico cuando no está cifrado no es una carta, es una
postal. Mediante un sniffer cualquiera puede ver lo que escribes (incluida tu clave). Por
tanto, sólo hay dos opciones: cifras el correo o asumes que te pueden leer el correo (pero no
comprometes más).

25. Mediante tunneling se puede leer el correo de forma segura usando únicamente POP. Esta
técnica establece un túnel cifrado mediante SSH entre tu equipo y tu servidor de correo
(venus).

Lo primero que tienes que hacer es configurar la conexión SSH a venus para que se autentifique
mediante el uso de clave pública/privada. Para esto es mejor que consultes algún manual
pero básicamente consiste en generar una clave pública y otra privada mediante ssh-keygen
-t dsa1, la clave privada se queda en tu equipo (sólo accesible a root) y la pública la colocas
en venus. De esta forma accedes a venus de forma segura sin escribir tu clave.

El segundo paso es escribir el siguiente script:

#! /bin/sh
evolution&
ssh -nx -L 43210:venus.escet.urjc.es:110 jalmendral@venus.escet.urjc.es

Nótese que pongo a la ”escucha”el puerto local 43210 pero que puede ser otro (el puerto 110
sí es fijo, corresponde al puerto por el que ”habla”venus). Así mismo, supongo que se usa
evolut
  • Links de descarga
http://lwp-l.com/pdf5556

Comentarios de: Configuración segura del ordenador (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios
Es necesario revisar y aceptar las políticas de privacidad