[ anterior ] [ Contenidos ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ siguiente ]

Manual de Seguridad de Debian
Capítulo 3 - Antes y durante la instalación


3.1 Escoger una contraseña BIOS

Antes de instalar algún sistema operativo en su computador, establezca una contraseña BIOS. Después de la instalación (una vez se haya posibilitado la entrada desde el disco duro) regrese a BIOS y cambie la secuencia de la entrada al programa para incapacitar el ingreso al disco flexible, al CD-ROM y otros dispositivos desde los que no se debería entrar. De otro modo un cracker solo necesitaría acceso físico y un disco de entrada para tener acceso a su sistema entero.

Inhabilitar El ingreso al programa sin una contraseña es mejor. Este puede ser muy efectivo si usted está administrando un servidor, porque éste no es reiniciado muy frecuentemente. El inconveniente para esta táctica es que el ingreso requiere intervención humana la cual puede causar problemas si la máquina no es de fácil acceso.


3.2 Escoger inteligentemente un esquema de partición

Un esquema de partición inteligente depende de como sea usada la máquina. Una buena regla del tonto, es ser completamente tolerante con sus particiones y prestar atención a los siguientes factores:


3.3 No se conecte a internet hasta que este listo

El sistema que usted va a instalar no debe estar conectado a Internet inmediatamente, durante la instalación. Esto puede sonar estúpido pero usualmente lo hacen. Ya que el sistema instalará y activará los servicios inmediatamente, si el sistema es conectado a Internet y los servicios no están correctamente configurados, usted está abierto para sufrir un ataque.

También verifique si algún servicio tiene nuevas vulnerabilidades de seguridad no arreglados en los paquetes que usted está usando para la instalación. Esto es cierto usualmente, si usted está instalando desde un medio antiguo (como CD-ROM) . En este caso, ¡puede estar comprometido antes de que la instalación se haya terminado!

Como la instalación y las actualizaciones de Debian pueden ser hechas en Internet, usted debe pensar que es una buena idea usar esta característica en la instalación. Si el sistema va a ser conectado directamente a Internet (y sin estar protegido por una barrera o un NAT), es mejor opoción instalar sin conexión a Internet usando un espejo de paquetes locales desde fuentes de los paquetes de Debian y de los datos de actualización de seguridad. Usted puede organizar los espejos de paquetes, usando otro sistema conectado a Internet y con las herramientas específicas de Debian (si éste es un sistema Debian) como apt-move o apt-proxy u otras herramientas comunes para espejos que proveean los archivos para el sistema instalado.


3.4 Colocar una contraseña a root (Administrador de Linux)

Colocar una buena contraseña a root es el más básico requerimiento para tener un sistema seguro.


3.5 Activar contraseñas shadow y md5.

Al final de la instalación, se le preguntará si las contraseñas de SHADOW deben estar habilitadas. Se responde con un SI a esta pregunta, porque las contraseñas se mantendrán en el archivo /etc/shadow. Solo el usuario de ROOT y el grupo shadow tienen acceso de lectura a este archivo, así que los usuarios no estarán aptos para tomar una copia de este archivo con el objeto de que funcione en contra de este. Usted puede cambiar entre las contraseñas de SHADOW y las contraseñas normales en cualquier momento por usar shadowconfig. Sin embargo si usted QUIERE durante la instalación usar las contraseñas presentadas en MD5. Esto es generalmente una muy buena idea ya que permite unas contraseñas más extensas y una mejor encripción.

Lea mas acerca de las contraseñas de Shadow Shadow Password (/usr/share/doc/HOWTO/en-txt/Shadow-Password.txt.gz).


3.6 Corra el mínimo número de servicios requeridos

Los servicios son programas tales como los servidores de ftp y los servidores de la Web. Ya que ellos deben estar escuchando las conexiones entrantes que requieren el servicio externo de los computadores para poder conectarse con usted. Los servicios son algunas veces vulnerables (i.e. puede estar comprometido bajo un ataque dado) y por lo tanto son un riesgo de seguridad.

Usted no debería instalar servicios innecesarios para su máquina. Todo servicio instalado nuevo, quizás sin evidencia (o evidentemente), puede crear fallas de seguridad en su computador.

/etc/rc?.d/* Como es bien sabido, cuando usted instala un servicio dado, el comportamiento erróneo es activarlo. En una instalación errónea de Debian, sin servicios instalados, la huella de los servicios recorridos es lenta y es aun más lento cuando se habla acerca de los servicios ofrecidos en la red. La huella en Debian 2.1 no era tan difícil como la 2.2 (algunos servicios inetd fueron permitidos por descuido) y en el Debian 2.2 el Rpc PORTMAPPER se permite para la instalación. Rpc es instalado por descuido porque este es necesitado por muchos servicios, por ejemplo NFS, para recorrer en un sistema dado. Esto puede ser removido fácilmente, sin embargo, vea Deshabilitar los demonios, Sección 3.6.1 para saber como desactivarlo.

Cuando usted instale un nuevo servicio relacionado a la red (demonio) en su sistema Debian GNU/ Linux este puede ser habilitado de dos formas: a través del superdemonio de inetd (i.e una línea será adherida a /etc/inetd.conf) o a través de un programa automático que se ratifica a si mismo con el conector de unidades del sistema. Los programas automáticos son controlados a través de los archivos /etc/init.d , los cuales son llamados al momento de entrar a través del mecanismo SysV (o una alternativa mas) por usar conexiones del sistema en /etc/rc?.d/* (para mas información sobre como hacer la lectura /usr/share/doc/sysvinit/README.runlevels.gz).

Si usted aun desea tener algunos servicios para usarlos de vez en cuando, use los comandos de update, e.g. 'update-inetd' y 'update-rc.d' para eliminarlos del proceso de inicio.


3.6.1 Deshabilitar los demonios

Incapacitar un demonio (o servicio) es muy sencillo. Hay diferentes métodos:

Usted puede eliminar estas conexiones de /etc/rc${runlevel}.d/ manualmente o usando update-rc.d (ver update-rc.d(8)). Por ejemplo, Usted puede inhabilitar un servicio de ejecución en los niveles haciendo:

     update-rc.d stop XX 2 3 4 5 .

Por favor note que, si usted no está usando file-rc, update-rc.d -f _service_ remove no trabajara adecuadamente, ya que todas las conexiones son removidas, cuando se realice la reinstalación o crezca el paquete, estas conexiones estarán regeneradas (probablemente no como usted quería). Si usted piensa que esto no es intuitivo probablemente usted estaría en lo cierto (vea Bug 67095. Del manual de paginas:

     Si algunos archivos /etc/rcrunlevel.d/[sk]??nombre ya existen entonces
     update-rc.d no hace nada. Esto ocurre porque el sistema administrador
     puede reorganizar las conexiones, permitiendo que ellos dejen la
     ultima conexión que queda, sin tener su configuración sobrescrita.

Si usted esá usando file-rc toda la información relativa a los servicios de entrada está manejada por un archivo de configuración común y es mantenido aun sí los paquetes son removidos del sistema.

Usted puede usar el TUI (Texto Interfaces del Usuario) proporcionado por rcconf para hacer todos estos cambios fácilmente (rcconf trabaja de dos formas por file-rc y el sistema normal V runlevels).

Otros métodos (no recomendables) de servicios inhabilitados son: chmod 644 /etc/init.d/_demonio_ (pero éste provocará un mensaje de error cuando usted entre al sistema) o modificar la escritura de /etc/init.d/_demonio_ (añadiendo una línea con exit 0 al comienzo o comentando la parte start-stop-daemon). Ya que los archivos init.d son archivos de configuración, éstos no serán sobrescritos al actualizar programas.

Desafortunadamente, a diferencia de otros sistema operativos (UNIX), los servicios en Debian no pueden ser desactivados al modificar los archivos en /etc/default/_servicename_.

ARREGLAME: Proporcionar mas información sobre el manejo de demonios usando file-rc.


3.6.2 Deshabilitar los servicios inetd

Usted debe parar todos los servicios innecesarios en su sistema, como echo, chargen, discard, daytime, time, talk, ntalk y r-services (rsh, rlogin y rcp) los cuales son considerados ALTAMENTE inseguros (en cambio use ssh). Después de inhabilitarlos, usted debe revisar si realmente necesita el demonio inetd. Mucha gente prefiere usar los demonios en lugar de servicios de llamada via inetd. En los ataques de Denial of service existen posibilidades en contra de inedt, las cuales pueden incrementar la carga de la máquina tremendamente. Si usted aun quiere ejecutar algún tipo de servicio inedt, utilize un demonio de inet más configurable como xinetd o rlinetd.

Usted puede inhabilitar directamente los servicios por la edición de /etc/inetd.conf, pero Debian proporciona una mejor alternativa para hacer esto:update-inetd (el cual comenta los servicios de una forma que este pude fácilmente ser reactivado de nuevo). Usted podría eliminar el demonio telnet ejecutando estos comandos para cambiar el archivo de configuración y reiniciar el demonio (en este caso el servicio telnet es inhabilitado):

     /usr/sbin/update-inetd --disable telnet

Si usted quiere tener servicios escuchando, pero no quiere que escuchen todas las direcciones IP de su host, usted podría usar una característica no documentada de inetd.. O usar un demonio inetd alterno como xinetd.


3.7 Lea las listas del correo de la seguridad de Debian

Nunca es malo dar un vistazo en cualquier lista de correo de los anuncios de seguridad de Debian, donde son anunciados avisos y correcciones para promocionar paquetes por el equipo de Debian, o en debian-security@lists.debian.org, donde usted puede participar en discusiones acerca de cosas relacionadas a la Seguridad de Debian.

Para recibir alertas importantes de la seguridad de update. Envíe un e-mail a debian-security-announce-request@lists.debian.orgcon la palabra 'suscribir' en la línea "subject". Usted también puede suscribirse a esta lista e-mail moderada en la pagina Web http://www.debian.org/MailingLists/subscribe

Estas listas de correo tienen un muy bajo volumen, y al suscribirse a esta usted será inmediatamente alertado de los asuntos de seguridad de la distribución Debian. Esto le permite rápidamente cargar nuevos paquetes con correcciones en la seguridad, lo cual es muy importante en el mantenimiento de un sistema seguro. (VeaEjecute una actualización de seguridad, Sección 4.6 para mas detalles sobre como hacer esto.)


[ anterior ] [ Contenidos ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ siguiente ]

Manual de Seguridad de Debian

2.4 (revisión de traducción 3) 20 septiembre 2003 Tue, 30 Apr 2002 15:41:13 +0200

Javier Fernández-Sanguino Peña jfs@computer.org