Un procedimiento siempre es útil, si le permite ver el proceso completo de fortalecimiento y le permita tomar desiciones. Una posibles aproximación para este procedimiento en Debian 2.2.GNU/linux es mostrado abajo. Este es un proceso post de instalación para una revición de la lista de medidas a ser tomadas, paso a paso, durante la configuración. vea Lista de chequeo de la Configuración., Apéndice B.también este procedimiento está (por el momento) más orientado hacia el fortalecimiento de servicios del sistema de redes.
dselect
y remueva lo que no es necesario, si no
selecciono paquetes antesv de ser (I)instalados. Deje la menor cantidad de
programas necesarios en el servidor.
$ ps -aux $ netstat -pn -l -A inet # /usr/sbin/lsof -i | grep LISTEN
Necesitará instalar lsof-2.2
para que el tercer comando funcione
(corralo como root). Debería ser consiente que lsof
puede
transladar la palabra LISTEN a su configuraciones de los locales.
dpkg
#!/bin/sh # ARREGLAME: this is quick and dirty; replace with a more robust script snippet for i in `sudo lsof -i | grep LISTEN | cut -d " " -f 1 |sort -u` ; do pack=`dpkg -S $i |grep bin |cut -f 1 -d : | uniq` echo "Service $i is installed by $pack"; init=`dpkg -L $pack |grep init.d/ ` if [ ! -z "$init" ]; then echo "and is run by $init" fi done
dpkg --purge
) o, si es útil, pero no debería estar habilitado al
inicio, use update-rc.d
(vea Deshabilitar los demonios, Sección 3.6.1)
para removerlo del sistema de inicio.
$ grep -v "^#" /etc/inetd.conf | sort -u
e incapacitar aquellos que no sean necesarios, comentando la línea que los
incluye, removiendo los paquetes o usando update-inetd
/usr/sbin/tcpd
)
revise que los /etc/hosts.allow
y /etc/hosts.deny
estén configurados acorde a su política de servicios.
$ init 1 (....) $ init 2
$ for i in `/usr/sbin/lsof -i |grep LISTEN |cut -d " " -f 1 |sort -u`; do user=`ps -ef |grep $i |grep -v grep |cut -f 1 -d " "` ; echo "Service $i is running as user $user"; done
y considere cambiar estos servicios para un usuario o grupo dado, que pueden
también ser cambiados de directorio raíz, para incrementar la seguridad. Puede
hacer esto cambiando el script /etc/init.d
donde el servicio se
activa. La mayoría de servicios en Debian usan start-stop-daemon
de tal forma que puede usar la opción --change-uid y la opción --chroot para
configurar estos servicios. Cambiar el directorio raíz de los servicios está
más allá del alcance de este documento, pero ofrecemos una palabra de
advertencia: Usted podría necesitar poner todos los archivos instalados por el
servicio de paquetes usando dpkg -L y los paquetes de los que dependen en el
ambiente de cambio de directorio raíz.
nessus
) para determinar las vulnerabilidades del sistema
(configuraciones erróneas, servicios viejos o innecesarios)
snort
y logsentry
).
para los verdaderos paranoicos, considere también lo siguiente:
ARREGLAME: Este procedimiento considera el servicio de fortelecimiento, pero no el sistema de fortalecimiento a nivel de usuario, incluir informaciones con respecto al chequeo de permisos del usuario, archivos setuid y paros en el sistema usando el sistema de archivos.
Manual de Seguridad de Debian
2.4 (revisión de traducción 3) 20 septiembre 2003 Tue, 30 Apr 2002 15:41:13 +0200jfs@computer.org