[ anterior ]
[ Contenidos ]
[ 1 ]
[ 2 ]
[ 3 ]
[ 4 ]
[ 5 ]
[ 6 ]
[ 7 ]
[ 8 ]
[ 9 ]
[ 10 ]
[ 11 ]
[ A ]
[ B ]
[ C ]
[ siguiente ]
Manual de Seguridad de Debian
Capítulo 1 - Introducción
Una de las cosas más dificiles sobre los documentos de seguridad es que cada
caso es único. Dos cosas a las que se debe prestar atención son la amenaza del
entorno y las necesidades de seguridad, tanto de cada parte individual como del
servidor o de la red. Por ejemplo, las necesidades de seguridad de un usuario
local son completamente diferentes a la red de un banco. Mientras que un
usuario local necesita defenderse contra el cracker script-kiddie, un
banco tiene que preocuparse de ataques dirigidos. Además, el banco tiene que
proteger los datos de su cliente con precisión milimétrica. En resumen, todo
usuario debe considerar el equilibrio entre utilización y seguridad/paranoia.
Observe que este manual solamente trata de asuntos relacionados con el
software. Ni el mejor software del mundo podría protegerlo si alguien tuviera
acceso físico a la máquina. Usted puede colocarlo bajo su mesa o puede ponerlo
en un búnker con un ejército que lo protega. Sin embargo, un ordenador de
escritorio, puede ser muchísimo más seguro (desde el punto de vista del
software) que un sistema protegido físicamente si el primero de éstos se
configura de la manera apropiada y el segundo está lleno de agujeros de
seguridad. Lógicamente, usted debe considerar ambos asuntos.
Este documento da una apreciación global de lo que usted puede hacer para
incrementar la seguridad de su sistema Debian GNU/Linux. Si usted ha leido
otros documentos con respecto a la seguridad en Linux, encontrará que describen
problemas comunes, los cuales pueden solaparse con este documento. Sin embargo
este documentos no intenta ser la única fuente de información que usted debería
usar, sólo intenta adaptar esa misma información para su aplicación sobre un
sistema Debian GNU/Linux. La forma de trabajar de distintas distribuciones es
distinta (el ejemplo habitual es la forma de arrancar y para los demonios del
sistema), aquí encontrará material apropiado para los procedimientos y
herramientas utilizadas por Debian.
Si vd. tiene algún comentario o sugerencia, por favor escriba un correo a
Javier Fernández-Sanguino
(dirección alternativa jfs@debian.org) y lo incorporará dentro de este manual.
Igualmente, si detecta alguna errata en la traducción de este manual, contacte
con él.
1.1 Obtención del manual
Usted puede leer u obtener la última versión del manual de seguridad de Debian
del Proyecto de
documentación de Debian
. También puede obtener las fuentes de la
versión de cvs a través del Servidor
CVS
.
En el servidor del proyecto de documentación de Debian no podrá leer el
documento en otros formato (como PDF ó txt). Sin embargo puede obtener o
instalar el paquete harden-doc
el cual
proporciona este mismo documento en formatos HTML, texto y PDF. Tenga en
cuenta que éste paquete puede no estar actualizado a la última versión
disponible en Internet (¡pero siempre puede utilizar el paquete fuente para
compilarse una nueva versión!).
1.2 Notas/Retroalimentación/Organización
Ahora, la parte oficial. Tanto Alexander Reelsen como Javier
Fernandez-Sanguino escribieron la mayoría de párrafos de éste manual, pero en
opinión de ambos éste no debería ser el caso. Ambos han crecido y vívido con
el software libre, y es algo que usan a diario y supongo que usted también.
Por eso animamos a todo el mundo a enviar todo tipo de retroalimentación,
añadidos o cualquier otra sugerencia, que usted pueda tener.
Si desea mantener una cierta sección o un párrafo mejor, escriba a quien
mantiene el documento y será bien recibido. Especialmente si encuentra una
sección marcada como ARREGLAME. Esto significa que los autores no tienen el
tiempo para hacerlo o el conocimiento total necesario sobre el tema, por ello
escribales un correo inmediatamente.
Por el tema de este manual está claro que es muy importante mantenerlo
actualizado y usted puede hacer su parte. Por favor, contribuya.
1.3 Conocimiento Previo
La instalación de Debian GNU/Linux no es muy difícil y usted mismo debió haber
sido capaz de instalado. Si tiene algún conocimiento sobre Linux u otro unix y
está familiarizado con la seguridad básica, le será más fácil entender este
manual, dado que este documento no puede explicar cada pequeño detalle o
característica (de lo contrario hubiera sido un libro en lugar de un manual).
Si usted no está tan familiarizado, probablemente debería mirar Estar enterado de los problemas de seguridad
generales., Sección 2.2 para saber cómo encontrar información más en
detalle.
1.4 Lo que falta escribir (ARREGLAME/PORHACER)
-
Considerar si escribir una sección sobre como construir aplicaciones para red
basadas en Debian (con información como el sistema básico
equivs
y
FAI).
-
Añadir información de cómo se configura un cortafuegos usando Debian GNU/Linux.
La sección con respecto al cortafuegos actualmente está orientada hacia un solo
sistema (no protegiendo otros...)
-
Añadir información para montar el cortafuegos proxy, con Debian GNU/Linux
estipulando qué paquetes específicos proporcionan servicios proxy (como
xfwp
, xproxy
, ftp-proxy
,
redir
, smtpd
, nntp-cache
,
dnrd
, jftpgw
,oops
,pnsd
,
perdition
,transproxy
, tsocks
). Debería
dirigirse al manual para cualquier otro tipo de información. Además observe
que zorp no está aún disponible como un paquete de Debian, pero es un
cortafuegos proxy (los desarrolladores oficiales proveen paquetes Debian).
-
Información sobre la configuración de servicio con file-rc.
-
Revisar todos los enlaces y URLs y arreglar/eliminar los que ya no están
disponibles.
-
Añadir información sobre subsitutos disponibles (en Debian) para servidores
comunes que son utiles para el funcionamiento limitado. Ejemplos:
-
lpr local cups (paquete)?
-
apache con dhttpd/thttpd/wn (tux?)
-
exim/sendmail con ssmtpd/smtpd/postfix
-
Más información con respecto a parches del núcleo específicos de seguridad en
Debian, incluyendo los mostrados anteriormente y hablando específicamente de
cómo habilitar estos parches en un sistema Debian GNU/Linux.
-
Linux Intrusion Detection (
lids-2.2.19
)
-
Linux Trustees (in package
trustees
)
-
kernel-patch-2.2.19-harden
-
Linux capabilities (in package
lcap
-
kernel-patch-freeswan,kernel-patch-int
-
Detalles sobre como parar servicios innecesarios de la red (al margen de
inetd
). Ésta se encuentra parcialmente en el procedimiento de
bastionado, aunque podría ampliarse un poco más.
-
Información con respecto a rotación de contraseñas, relacionado estrechamente a
la política de seguridad.
-
Política de seguridad, y sobre la educación de los usuarios sobre la política.
-
¿Más sobre tcpwrappers y wrappers en general?
-
hosts.equiv
y otros agujeros de seguridad.
-
Temas relacionados con servidores de ficheros tales como Samba y NFS.
-
suidmanager/dpkg-statoverrides.
-
Elimininar cosas de IP en GNOME.
-
Hablar sobre los programas para hacer jaulas (chroot).
Compartment
y chrootuid
están en la cola de entrada.
Ademas, algunos otros (makejail, jailer) podrían ser introducidos en el futuro.
-
Más información con respecto a los programas de análisis de bitácora (ie.
logcheck and logcolorise).
1.5 Listado de cambios/Historia
1.5.1 Versión 2.4
Cambios por Javier Fernández-Sanguino Peña.
-
Reescrita la parte de la sección BIOS.
1.5.2 Versión 2.3
Cambios por Javier Fernández-Sanguino Peña.
-
La mayoría de los archivos se encuentran marcados con la etiqueta file.
-
Fallo de ortografía observado por Edi Stojicevi.
-
La sección de herramientas de auditoría remota se ha modificado ligeramente.
-
Se añadieron algunas piezas de PORHACER.
-
Se añadió más información con respecto a impresoras y los archivos de
configuración de cups (tomado de un hilo en debian-segurity).
-
Se añadió un parche suministrado por Jesus Climent relacionado con el acceso de
usuarios válidos del sistema en Proftpd cuando se ha configurado como servidor
anónimo.
-
Pequeños cambios sobre divisiones de esquemas para el caso especial de
servidores del correo.
-
Se añadió Hacking Linux Exposed para la sección de los libros.
-
Error en directorio notificado por Eduardo Pérez Ureta.
-
Error ortográfico /etc/ssh en la checklist notificado por Edi Stojicevi.
1.5.3 Version 2.3
Cambios por Javier Fernández-Sanguino Peña.
-
Cambio de ubicación del fichero de configuración de dpkg.
-
Alexander eliminado de la información de contacto.
-
Se añadieron direcciones de correo alternativas.
-
Se arregló la dirección de correo de Alexander (aún entre comentarios).
-
Se arregló la ubicación de la llave publicada de la distribución (gracias a
Pedro Zorzenon por señalarlo).
1.5.4 Versión 2.2
Cambios por Javier Fernández-Sanguino Peña.
-
Se arreglaron errores ortográficos, gracias a Jamin W. Collins.
-
Se añadió una referencia a la página de manual de apt-extracttemplate
(documenta la configuración APT::ExtracTemplate).
-
Se añadió la sección sobre SSH restringido. Información basada en los correos
enviados por Mark Janssen, Christian G. Warden y Emmanuel Lacour en la lista
de correo debian-security.
-
Se añadió información sobre programas antivirus.
-
Se añadió un FAQ: las bitácoras de su debido al cron que se ejecuta
como root.
1.5.5 Versión 2.1
Cambios por Javier Fernández-Sanguino Peña.
-
Se eliminó el ARREGLAME de lshell gracias a Oohara Yuuma.
-
Se agregó un paquete para sXid y se eliminaron comentarios desde que éste se
encuentre disponible.
-
Se cambió algunos fallos ortográficos descubiertos por Oohara Yuuma.
-
ACID está ahora disponible en Debian (en el paquete acidlab) gracias a Oohara
Yuuma por notificarlo.
-
Se arregló los URLS de seguridad de Linux (gracias a Dave Wreski por
comentarlo).
1.5.6 Versión 2.0
Cambios por Javier Fernández-Sanguino Peña. Yo quise cambiar la versión 2.0
cuando todos los ARREGLAMEs estaban cambiados, pero los eliminé de los números
1.9X :(
-
Se convirtió el HOWTO a un manual (ahora puedo decir apropiadamente LEJM)
-
Se añadió mas información con respecto a los tcpwrappers y a Debian (ahora
muchos servicios están compilados con soporte para ellos, así que ya no es
problema de
inetd
).
-
Se aclaró la información sobre cómo deshabilitar el servicio rpc para hacerlo
más consistente (la información rpc hacía referencia a update-rc.d)
-
Se añadieron pequeñas notas sobre lprng.
-
Se agregó alguna información sobre servidores comprometidos (aún muy rústico)
-
Se cambió fallos ortográficos detectados por Mark Bucciarelli.
-
Se añadieron algunos pasos en la recuperación de password para proteger los
casos cuando el administrador tiene paranoid-mode=on.
-
Se añadió información para colocar paranoid-mode=on cuando el login está en la
consola.
-
Nuevo párrafo para introducir las configuraciones de servicios.
-
Se reorganizó la sección despues la instalación además ésta se
descompone más en varios temas facilitando la lectura.
-
Se escribió información sobre como montar cortafuegos con el montaje estándar
de Debian 3.0 (paquete iptables).
-
Un pequeño párrafo explicando por qué la instalación a la conexión de Internet
no es buena idea y cómo evitar esto, usando las herramientas Debian.
-
Un pequeño párrafo referenciando a un trabajo publicado en el IEEE sobre cómo
aplicar a tiempo parches de seguridad.
-
Un apéndice sobre como montar una máquina snort Debian basada en lo que
Vladimir envió a la lista de seguridad de debian-security (septiembre 3 2001)
-
Información sobre cómo logcheck se monta en Debian y cómo este puede ser usado
en el sistema HIDS.
-
Información sobre la contabilidad del usuario y los beneficios de los análisis.
-
Se incluyó la configuración apt.conf para leer únicamente /usr copiado del
correo de Olaf Meeuwissen a la lista de correos debian-security.
-
Nueva sección en VPN con algunas agujas y paquetes disponibles. en Debian (se
neceista contenido de cómo establecer VPNs y problemas específicos de Debian),
basado en el envío de Jaroslaw Tabor y Samuli Suonpaa a debian-security.
-
Una corta nota con respecto a algún programa que automáticamente construye
celdas para el cambio de directorio raíz
-
Nuevo artículo FAQ con respecto a identd basado en una discusión de la
seguridad-debian enviando la lista (febrero 2002, empezado por Johannes Weiss).
-
Nuevo artículo FAQ con respecto al inetd basada en una discusión de la
seguridad-debian enviando la lista (febrero 2002).
-
Se introdujo una nota en rcconf en la sección "deshabilitar
servicios".
-
Varió el enfoque con respecto a LKM, gracias a Philipe Gaspar
-
Se añadieron enlaces a documentos del CERT y fuentes de información de
Couterpane.
1.5.7 Versión 1.99
Cambios por Javier Fernández-Sanguino Peña.
-
Se añadió un nuevo FAQ item con respecto al tiempo de arreglo de
vulnerabilidades de seguridad.
-
Secciones FAQ reorganizadas.
-
Se comenzó a escribir la sección con respecto a firewalling en Debian GNU/Linux
(Podría ser ampliado un poco)
-
Eliminados errores ortográficos detectados por Matt Kraai.
-
Cambiada la información de DNS.
-
Se agregó información sobre whisker y nbtscan para la sección de auditoría.
-
Se modificó algún URL erróneo.
1.5.8 Versión 1.98
Cambios por Javier Fernández-Sanguino Peña.
-
Se añadió una nueva sección con respecto a la inspección usando Debian
GNU/Linux.
-
Se añadió información con respecto al demonio finger tomado de la lista de
correo de seguridad.
1.5.9 Versión 1.97
Cambios por Javier Fernández-Sanguino Peña.
-
Se cambió el enlace a Linux Trustees
-
Se arreglaron fallos ortográficos (parches de Oohara Yuuma y Pedro Zorzenon)
1.5.10 Versión 1.96
Cambios por Javier Fernández-Sanguino Peña.
-
Se reorganizó el servicio de instalación y se añadiero y eliminaron algunas
notas.
-
Se añadieron algunas notas con respecto al uso de sistemas de comprobación de
integridad como herramientas de detección de intrusos.
-
Se añadió un capítulo con respecto firmas de paquetes.
1.5.11 Versión 1.95
Cambios por Javier Fernández-Sanguino Peña.
-
Se añadiero notas con respecto a la seguridad Squid enviadas por Philipe
Gaspar.
-
Cambios de enlaces sobre rookits gracias a Philipe Gaspar.
1.5.12 Versión 1.94
Cambios por Javier Fernández-Sanguino Peña.
-
Se añadieron algunas notas con respecto al Apache y Lpr/lpng.
-
Se añadió alguna información con respecto a noexec y particiones de acceso
aleatorio
-
Reescritura de cómo puede el usuario ayudar en los asuntos de seguridad Debian
(FAQ item).
1.5.13 Versión 1.93
Cambios por Javier Fernández-Sanguino Peña.
-
Se arregló el sitio donde se encuentra el programa de correo.
-
Se añadieron algunos nuevos elementos a las PUF.
1.5.14 Versión 1.92
Cambios por Javier Fernández-Sanguino Peña.
-
Añadió una pequeña sección de cómo se maneja la seguridad en Debian
-
Clarificación sobre las contraseñas MD5 (gracias a `rocky')
-
Añadida un poco más de información con respecto a harden-X de Stephen Egmond
-
Añadió algunos artículos nuevos al FAQ
1.5.15 Versión 1.91
Cambios por Javier Fernández-Sanguino Peña.
-
Añadida un poco de información forense enviado por Yotam Rubin.
-
Añadió información de como construir una red trampa con Debian GNU/Linux.
-
Añadidas unas cosas a hacer más.
-
Arreglos de más errores ortográficos (gracias a Yotam)
1.5.16 Versión 1.9
Cambios por Javier Fernández-Sanguino Peña.
-
Se añadió un parche para arreglar errores de ortografía y un poco de nueva
información. (contribuido por Yotam Rubin)
-
Añadida alguna información sobre cómo configurar opciones de Bind para
restringir el acceso al servidor de DNS.
-
Agregada infortmación de como bastionar un sistema de Debian automáticamente
(con respecto al paquete harden y bastille)
-
Eliminados algunos PORHACER hechos y añadidos otros nuevos.
1.5.17 Versión 1.8
Cambios por Javier Fernández-Sanguino Peña.
-
Se añadió la lista de usuario/grupo por defecto proporcionada por Joey Hess
(enviada a la lista de correo Debian-security).
-
Se agregó información sobre Proftp contribuido por Emmanuel Lacour.
-
Se recuperó el apéndice checklist de Era Eriksson.
-
Se añadidos algunos artículos nuevos alPORHACERy se arreglaron otros.
-
Se incluyeron manualmente los parches de Era dado que no se habían incluido en
la versión anterior.
1.5.18 Versión 1.7
Cambios por Era Eriksson.
-
Se arreglaron errores ortográficos y se cambiaron algunas palabras.
Cambios por Javier Fernández-Sanguino Peña.
-
Cambios menores de las etiquetas para seguir removiendo las tt, y sustituirlas
por las etiquetas de prgn/package.
1.5.19 Versión 1.6
Cambios por Javier Fernández-Sanguino Peña.
-
Se añadió el enlace al documento como se publicó en el DDP (debería reemplazar
el original en el futuro cercano)
-
comenzó un mini-PUF (debería extenderse) con algunas preguntas recuperadas de
mi buzón.
-
Se añadió información general a considerar cuando se está bastionando.
-
Se añadió un párrafo con respecto al envío de correo local (entrante).
-
Se añadieron enlaces de información.
-
Se añadió información con respecto al servicio de impresión
-
Se añadió una lista de chequeo de bastionado.
-
Se reorganizó información de NIS y RPC.
-
Se añadieronalgunas notas tomadas mientras está leyendo este documento en mi
nuevo visor :)
-
Se arreglaron algunas líneas mal formateadas.
-
Se arreglaron algunos errores ortográficos.
-
Se añadieron ideas Geniales/Paranoícas contribuidas por Gaby Schilders.
1.5.20 Versión 1.5
Cambios por Josip Rodin y Javier Fernández-Sanguino Peña.
-
Se añadieron párrafos relacionados con BIND y algunos ARREGLAMEs.
1.5.21 Versión 1.4
-
Se revisaron algunos setuid pequeños.
-
Se averiguó como usar sgml2txt -f para la versión txt. versión
1.5.22 Versión 1.3
-
Se añadió una actualización de seguridad después del párrafo de la instalación
-
Se añadió un párrafo del proftpd
-
En ésta ocasión se escribió algo sobre XDM, disculpas por el anterior.
1.5.23 Versión 1.2
-
Muchas correcciones de gramática por James Treacy, nuevo párrafo de XDM.
1.5.24 Versión 1.1
-
Errores ortográficos, cambios varios.
1.5.25 Versión 1.0
1.6 Créditos y Agradecimientos
-
Alexander Reelsen escribió el documento original.
-
Javier Fernández-Sanguino añadió aún más información al documento original.
-
Robert van der Meulen aportó los párrafos de quota y muchas buenas ideas.
-
Ethan Benson corrigió los párrafos de PAM y sugirió buenas ideas.
-
Dariusz Puchalak hizo contribuciones a muchos capítulos.
-
Gaby Schilders contribuyó a una buena idea de Genio/Paranoia.
-
Era Eriksson resolvió problemas de idioma en muchos lugares y contribuyó al
apéndice de la lista de comprobaciones.
-
Philipe Gaspar escribió la información de LKM.
-
Yotam Rubin contribuyó a los ajustes de muchos fallos ortográficos así como a
la información con respecto a las versiones de bind y las contraseñas md5.
-
(de Alexander) A todas las personas que me animaron a escribir, este COMO (El
cual posteriormente se convirtió en el manual) .
-
La totalidad del proyecto Debian.
<!- Revisión de jfs terminó aquí Wed, 07 May 2003 04:40:02 +0200 Bueno, en
realidad incluí gran parte de lo que Thomas Bliesener me envío el 24 de abril
de 2003 (las modificaciones al texto de Igor, no las nuevas partes traducidas,
lo siento) Más abajo está sustituido de forma global lo siguiente FIXME por
ARREGLAME adicionar por añadir and por y remover por eliminar daemon por
demonio Aún hay que mirar muchas más cosas..... incluyendo acentos (faltan
muchos) y cosas similares. Además parece que faltan muchos tags que estaban en
el documento original :-( -->
[ anterior ]
[ Contenidos ]
[ 1 ]
[ 2 ]
[ 3 ]
[ 4 ]
[ 5 ]
[ 6 ]
[ 7 ]
[ 8 ]
[ 9 ]
[ 10 ]
[ 11 ]
[ A ]
[ B ]
[ C ]
[ siguiente ]
Manual de Seguridad de Debian
2.4 (revisión de traducción 3) 5 marzo 2004 Tue, 30 Apr 2002 15:41:13 +0200
Javier Fernández-Sanguino Peña jfs@computer.org