Antes de instalar algún sistema operativo en su computador, establezca una contraseña BIOS. Después de la instalación (una vez se haya posibilitado la entrada desde el disco duro) regrese a la BIOS y cambie la secuencia de arranque del sistema para impedir el arranque desde el disco flexible, el CD-ROM y otros dispositivos desde los que no se debería arrancar. De otro modo un cracker solo necesitaría acceso físico y un disco de arranque para tener acceso a la totalidad de su sistema.
Inhabilitar El ingreso al programa sin una contraseña es mejor. Este puede ser muy efectivo si usted está administrando un servidor, porque éste no es reiniciado muy frecuentemente. El inconveniente para esta táctica es que el ingreso requiere intervención humana la cual puede causar problemas si la máquina no es de fácil acceso.
Un esquema de partición inteligente depende de cómo sea usada la máquina. Una buena regla para torpes es ser completamente tolerante con sus particiones y prestar atención a los siguientes factores:
/home
y /tmp
, debería estar en
una partición separada. Esto reduce el riesgo de un DoS por parte de un
usuario, al llenar su punto de montaje de "/" y tornar el sistema
inservible. (Nota: esto no es estrictamente cierto, dado que siempre hay algún
espacio reservado para el administrador, el cual un usuario normal no puede
llenar).
/var
(especialmente
/var/log
) también debería estar en una partición separada. En un
sistema Debian, usted debe crear /var un poco más grande de lo normal, debido a
que los paquetes descargados (el apt cache) son guardados en
/var/cache/apt/archives
. Esto es mucho más importante para los
servidores del correo (/var/mail
y/o /var/spool/mail
)
ya que los usuarios remotos pueden llenar la cola del correo (intencionada o no
intencionadamente).
/opt
o /usr/local
. Si
estos directorios están en particiones separadas, no serán borrados si usted
tiene que reinstalar Debian.
El sistema que usted va a instalar no debe ser conectado inmediatamente a Internet durante la instalación. Esto puede sonar estúpido pero usualmente se hace. Ya que el sistema instalará y activará servicios inmediatamente, si el sistema es conectado a Internet y los servicios no están correctamente configurados, usted está abierto a sufrir un ataque.
También verifique si algún servicio tiene nuevas vulnerabilidades de seguridad no arregladas en los paquetes que usted está utilizando para la instalación. Normalmente esto es cierto si usted está instalando desde un medio antiguo (como CD-ROMs) . En este caso, ¡puede estar comprometido antes de que la instalación se haya terminado!.
Como la instalación y las actualizaciones de Debian pueden ser realizadas desde
Internet, usted debe pensar que es una buena idea usar esta característica en
la instalación. Si el sistema va a ser conectado directamente a Internet (y
sin estar protegido por un cortafuegos o NAT), es mejor instalar sin conexión a
Internet, utilizando un espejo local de paquetes tanto para los fuentes de los
paquetes de Debian como para las actualizaciones de seguridad. Usted puede
configurar los espejos de paquetes usando otro sistema conectado a Internet con
herramientas específicas de Debian (si es un sistema Debian) como
apt-move
o apt-proxy
, u otras herramientas comunes
para espejos que provean los archivos para el sistema instalado.
Colocar una buena contraseña a root es el más básico requerimiento para tener un sistema seguro.
Al final de la instalación se le preguntará si las contraseñas shadow deben ser
habilitadas. Responda con un SI a esta pregunta, y así las contraseñas se
mantendrán en el archivo /etc/shadow
. Solo el usuario root y el
grupo shadow tienen acceso de lectura a este archivo, así que los usuarios no
estarán autorizados a realizar una copia de este archivo con el objeto de
ejecutar un decodificador de contraseñas. Usted puede cambiar entre las
contraseñas shadow y las contraseñas normales en cualquier momento utilizando
shadowconfig. Además, durante la instalación se le preguntará si
quiere usar las contraseñas con una función MD5 aplicada. Esto es generalmente
una muy buena idea, ya que permite unas contraseñas más extensas y una mejor
encriptación.
Lea más acerca de las contraseñas shadow en Shadow
Password
(/usr/share/doc/HOWTO/en-txt/Shadow-Password.txt.gz
).
Los servicios son programas tales como los servidores de ftp y los servidores web. Ya que ellos deben estar escuchando las conexiones entrantes que requieren el servicio, computadores externos podrán conectarse con usted. Los servicios son algunas veces vulnerables (i.e. puede estar comprometido bajo un ataque dado) y por lo tanto son un riesgo de seguridad.
Usted no debería instalar servicios innecesarios para su máquina. Todo nuevo servicio instalado, quizás sin evidencia (o evidentemente), puede crear fallas de seguridad en su computador.
Como es bien sabido, cuando usted instala un servicio dado, el comportamiento erróneo es activarlo. En una instalación por defecto de Debian, sin servicios instalados, la huella de los servicios recorridos es lenta y es aun más lento cuando se habla acerca de los servicios ofrecidos en la red. La huella en Debian 2.1 no era tan difícil como la 2.2 (algunos servicios inetd fueron permitidos por descuido) y en el Debian 2.2 el Rpc PORTMAPPER se permite para la instalación. Rpc es instalado por descuido porque este es necesitado por muchos servicios, por ejemplo NFS, para recorrer en un sistema dado. Esto puede ser removido fácilmente, sin embargo, vea Deshabilitar los demonios, Sección 3.6.1 para saber como desactivarlo.
Cuando usted instale un nuevo servicio relacionado con la red (demonio) en su
sistema Debian GNU/ Linux, éste puede ser habilitado de dos formas: a través
del superdemonio de inetd (i.e una línea será añadida a
/etc/inetd.conf
) o a través de un programa automático que se
ratifica a si mismo con el conector de unidades del sistema. Los programas
automáticos son controlados a través de los archivos /etc/init.d
,
los cuales son llamados al momento de entrar a través del mecanismo SysV (o una
alternativa mas) por usar conexiones del sistema en /etc/rc?.d/*
(para mas información sobre como hacer la lectura
/usr/share/doc/sysvinit/README.runlevels.gz
).
Si usted aun desea tener algunos servicios para usarlos de vez en cuando, use los comandos de update, e.g. 'update-inetd' y 'update-rc.d' para eliminarlos del proceso de inicio.
Incapacitar un demonio (o servicio) es muy sencillo. Hay diferentes métodos:
/etc/rc${runlevel}.d/
o renombrar las
conexiones (así que ellos no empezarán con 'S')
/etc/init.d/_service_name_
) a otro
nombre (por ejemplo /etc/init.d/OFF._service_name_
)
/etc/init.d/_service_name_
.
/etc/init.d/_service_name_
para que éste se pare
nada más ejecutarse.
Usted puede eliminar estas conexiones de /etc/rc${runlevel}.d/
manualmente o usando update-rc.d (ver
update-rc.d(8)
). Por ejemplo, Usted puede inhabilitar un servicio
de ejecución en los niveles haciendo:
update-rc.d stop XX 2 3 4 5 .
Por favor note que, si usted no está usando file-rc
,
update-rc.d -f _service_ remove no trabajara adecuadamente, ya que
todas las conexiones son removidas, cuando se realice la reinstalación
o crezca el paquete, estas conexiones estarán regeneradas (probablemente no
como usted quería). Si usted piensa que esto no es intuitivo probablemente
usted estaría en lo cierto (vea Bug 67095
. Del manual de
paginas:
Si algunos archivos /etc/rcrunlevel.d/[sk]??nombre ya existen entonces update-rc.d no hace nada. Esto ocurre porque el sistema administrador puede reorganizar las conexiones, permitiendo que ellos dejen la ultima conexión que queda, sin tener su configuración sobrescrita.
Si usted esá usando file-rc
toda la información relativa a los
servicios de entrada está manejada por un archivo de configuración común y es
mantenido aun sí los paquetes son removidos del sistema.
Usted puede usar el TUI (Texto Interfaces del Usuario) proporcionado por
rcconf
para hacer todos estos cambios fácilmente
(rcconf
trabaja de dos formas por file-rc y el sistema normal V
runlevels).
Otros métodos (no recomendables) de servicios inhabilitados son: chmod
644 /etc/init.d/_demonio_ (pero éste provocará un mensaje de error
cuando usted entre al sistema) o modificar la escritura de
/etc/init.d/_demonio_
(añadiendo una línea con exit 0
al comienzo o comentando la parte start-stop-daemon). Ya que los
archivos init.d son archivos de configuración, éstos no serán sobrescritos al
actualizar programas.
Desafortunadamente, a diferencia de otros sistema operativos (UNIX), los
servicios en Debian no pueden ser desactivados al modificar los archivos en
/etc/default/_servicename_
.
ARREGLAME: Proporcionar mas información sobre el manejo de demonios usando file-rc.
Usted debe parar todos los servicios innecesarios en su sistema, como echo, chargen, discard, daytime, time, talk, ntalk y r-services (rsh, rlogin y rcp) los cuales son considerados ALTAMENTE inseguros (en cambio use ssh). Después de inhabilitarlos, usted debe revisar si realmente necesita el demonio inetd. Mucha gente prefiere usar los demonios en lugar de servicios de llamada via inetd. En los ataques de Denial of service existen posibilidades en contra de inedt, las cuales pueden incrementar la carga de la máquina tremendamente. Si usted aun quiere ejecutar algún tipo de servicio inedt, utilize un demonio de inet más configurable como xinetd o rlinetd.
Usted puede inhabilitar directamente los servicios por la edición de
/etc/inetd.conf
, pero Debian proporciona una mejor alternativa
para hacer esto:update-inetd (el cual comenta los servicios de una
forma que este pude fácilmente ser reactivado de nuevo). Usted podría eliminar
el demonio telnet ejecutando estos comandos para cambiar el archivo de
configuración y reiniciar el demonio (en este caso el servicio telnet es
inhabilitado):
/usr/sbin/update-inetd --disable telnet
Si usted quiere tener servicios escuchando, pero no quiere que escuchen todas
las direcciones IP de su host, usted podría usar una característica no
documentada de inetd.. O usar un demonio inetd alterno como
xinetd
.
Nunca es malo dar un vistazo en cualquier lista de correo de los anuncios de seguridad de Debian, donde son anunciados avisos y correcciones para promocionar paquetes por el equipo de Debian, o en debian-security@lists.debian.org, donde usted puede participar en discusiones acerca de cosas relacionadas a la Seguridad de Debian.
Para recibir alertas importantes de la seguridad de update. Envíe un e-mail a
debian-security-announce-request@lists.debian.org
con
la palabra 'suscribir' en la línea "subject". Usted también puede
suscribirse a esta lista e-mail moderada en la pagina Web http://www.debian.org/MailingLists/subscribe
Estas listas de correo tienen un muy bajo volumen, y al suscribirse a esta usted será inmediatamente alertado de los asuntos de seguridad de la distribución Debian. Esto le permite rápidamente cargar nuevos paquetes con correcciones en la seguridad, lo cual es muy importante en el mantenimiento de un sistema seguro. (VeaEjecute una actualización de seguridad, Sección 4.6 para mas detalles sobre como hacer esto.)
Manual de Seguridad de Debian
2.4 (revisión de traducción 3) 31 mayo 2004 Tue, 30 Apr 2002 15:41:13 +0200jfs@computer.org