Luego de haber leido toda la información en los capítulos anteriores usted puede estar pensando "tengo que hacer muchas cosas para fortalecer mi sistema, ¿no podrian ser automatizadas estas cosas?". La respuesta es si, pero tenga cuidado con las herramientas automatizadas. Algunas personas creen, que una herramienta de fortalecimiento no elimina la necesidad de una buena administración. Asi que no se sorprenda al pensar que usted puede automatizar todo el proceso y solucionar todos los problemas relacionados. La seguridad es un proceso constante en el cual el administrador debe participar y no puede alejarse y dejar hacer todo a las herramientas dado que ninguna herramienta sencilla lo puede afrontar: con toda la seguridad posible de las políticas de implementaciones, todos los ataques y todos los entornos.
A partir de Woody (Debian 3.0) existen dos paquetes específicos que son utiles
para la seguridad del fortalecimiento. El fortalecimiento
tomara
un enfoque basado en las dependencias del paquete para rápidamente instalar
paquetes valiosos de seguridad y removerá aquellos uqe tengan defectos, la
configuración de paquetes debe estar hecha por el administrador. La
bastilla
que implementa unas políticas de seguridad proporcionadas
por el sistema local basado en la cofiguración previa hecha por el
administrador (la elaboración de la configuración puede ser un proceso guiado,
hecho por preguntas sencillas de si y no).
El paquete
harden trata de hacer más fácil la instalación y
administración de hosts que necesitan buena seguridad. Este paquete debería
ser utilizado por gente que quiere una ayuda rápida para aumentar la seguridad
del sistema. Para hacer esto el paquete se contradice con otros que poseen
defectos conocidos incluyendo (pero ilimitadamente): defectos de seguridad
conocidos (así como el buffer se desborda), uso de claves de texto plano, falta
de control de acceso, etc. Además, este instala automáticamente algunas
herramientas que deberían realzar la seguridad de cierta manera: herramientas
de detección de intrusión, herramientas de análisis de seguridad, etc. Harden
instala los siguientespaquetes virtuales (en otras palabras,
únicamente no satisface dependencias en otros):
harden-tools
: herramientas para realizar el sistema de seguridad
(revisores deintegridad, detección de intrusión, los parches del kernel ...)
harden-doc
: proporciona este mismo manual y otra documentación de
seguridad relacionada con paquetes.
harden-environment
: Ayuda a configurar un entorno fortalecido
(normalmente vacio).
harden-servers
: remueve a los servidores insegurosporalguna razón.
harden-clients
: removes clients considered insecure for some
reason.
harden-remoteflaws
: removes packages with known security holes
that could be used by a remote attacker to compromise the system (uses
versioned Conflicts:).
harden-localflaws
: removes packages with known security holes that
could be used by a local attacker to compromise the system (uses versioned
Conflicts:).
harden-remoteaudit
: tools to remotely audit a system.
Tenga cuidado porque si usted tiene un software que necesite (y usted no desea
desinstalarlo por ninguna razón) y este se contradice con alguno de los otros
paquetes antedichos, usted no podrá usar totalmente el
harden
(fortalecimiento). Los paquetes "harden" no
ejecutan ninguna acción (directamente). Sin embargo, ellos poseen un paquete
de conflictos intencionales con paquetes inseguros conocidos. De esta forma,
el sistema de embalaje de Debian no aprobará estos paquetes. Por ejemplo,
cuando usted trata de instalar un demonio telnet con
harden-servers
apt mostrará:
# apt-get instalar telnetd Los siguientes paquetes serán REMOVIDOS: harden-servers Los siguientes paquetes nuevos srán instalados: telnetd Desea continuar (y/n)
Esto podría causar algunas preocupaciones en la cabeza del administrador, quien debería reconsiderar sus acciones.
Bastille Linux
es una
herramienta automática de fortalecimiento, originalmente orientada en torno a
las distribuciones de Red Hat y Mandrake Linux. Sin embargo, el paquete
bastille
proporcionado en Debian (desde woody) es arreglado para
brindar la mima fucionalidad para el sistema GNU/ Linux.
Bastille puede ser utilizado con diferentes Frontends (todos son documentados en su propio manual de páginas en el paquete Debian) los cuales capacitan al administrador para:
InteractiveBastille(8)
)
BastilleChooser(8)
)
AutomatedBastille(8)
)
Manual de Seguridad de Debian
2.4 (revisión de traducción 3) 20 septiembre 2003 Tue, 30 Apr 2002 15:41:13 +0200jfs@computer.org