[ anterior ]
[ Contenidos ]
[ 1 ]
[ 2 ]
[ 3 ]
[ 4 ]
[ 5 ]
[ 6 ]
[ 7 ]
[ 8 ]
[ 9 ]
[ 10 ]
[ 11 ]
[ A ]
[ B ]
[ C ]
[ siguiente ]
Manual de Seguridad de Debian
Apéndice B - Lista de chequeo de la Configuración.
Este apéndice reitera puntos de otras secciones de este manual condensando en
un formato de lista de chequeo. El propósito es ser un resumen para quienes ya
han leído el manual. También hay otras buenas listas de chequeo disponibles,
Kurt Seifried tiene una configuración basada en un curso en Securing
Linux Step by Step
.
ARREGLAME: esto es basado en v1.4 del manual, y podría necesitar actualizarse.
-
límitar la entrada para un acceso físico.
-
Capacitar la contraseña BIOS
-
incapacitar la entrada floppy/cdrom/...
-
enviar una contraseña LILO o GRUB (
/etc/lilo.conf
o
/boot/grub/menu.lst
, respectivamente); revisar que la
configuración de los archivos LILO o GRUB sea de lectura-protegida.
-
desaprobar el disco flexible MBR para iniciar por el respaldo de la floppy
booting back door by overwriting the MBR (maybe not?)
-
partitura
-
Separe los datos del suscriptor, no sistema de datos, y cambiar rápaidamente
los datos del tiempo de recorrido de sus datos de particón.
-
enviar nosuid,noexec,nodev montar opciones en
/etc/fstab
sobre la partición ext2 tal como /tmp
.
-
Higiene de las contraseñas y aseguramiento a la entrada
-
Defina una buena contraseña para el administrador
-
Habilite shadowing y MD5 en las contraseñas
-
Instale y use PAM
-
Agregue MD5 para soportar PAM y asegúrese que: (en términos generales) las
entradas en el archivo
/etc/pam.d/
que permiten acceso a la
máquina, tengan en el segundo campo del archivo pam.d definidoc com
"requisite" o "required".
-
Cambie
/etc/pam.d/login
para permitir solamente entradas locales
al administrador.
-
también marque las tty: atuorizadas en
/etc/security/access.conf
y
generalmente configurar este archivo para limitar la entrada del administrador
tanto como sea posible.
-
Agregue pam_limits.so si usted desea habilitar límites para usuarios.
-
Cambie
/etc/pam.d/passwd
: especifique un tamaño mínimo de
contraseña.(podrían ser 6 caracteres) y habilite md5
-
agregue un grupo wheel a
/etc/group
si desea, agregue pam_wheel.
para entrar a /etc/pam.d/su
-
para especificar controles por usuario iniciales, use pam_listfile cuando sea
apropiado.
-
tenga un archivo
/etc/pam.d/other
y montarlo con seguridad alta.
-
ponga límites en
/etc/security/limits.conf
(note que
/etc/limits
no es usado si usted está utilizando PAM)
-
Restrinja
/etc/login.defs
; también, si usted habilita MD5 y/o PAM,
asegurese que usted hace los cambios carrespondientes ahí también.
-
inhabilite el acceso a root por ftp en
/etc/ftpusers
-
inhabilite la entrada vía red al root; use
su(1)
o
sudo(1)
. (considere instalar sudo
)
-
Use PAM para hacer cumplir las restrinciones adicionales sobre logins?
-
Otros asuntos de la seguridad local.
-
restrinja los permisos de los archivos de bitácora
(
/var/log/{last,fail}log
, Apache logs)
-
Verifique que la revisión de setuid está habilitada en
/etc/checksecurity.conf
-
Considere hacer algunos archivos log append-only y configurar archivos
inmutables usando chattr (ext2 filesystems únicamente)
-
Considere remplazar locate con slocate
-
Enviar bitácoras a una impresora local?
-
Queme su configuración sobre un CD de arranque y e inicie la máquina desde
este?
-
incapacitar módulos del kernel?
-
Limite el acceso a la red
-
Instale y configure
ssh
(se sugiere PermitRootLogin No
/etc/ssh/sshd_config
, PermitEmptyPasswords No; note que hay otras
sugerencias en este texto)
-
Considere incapacitar o eliminar in.telnetd
-
Generalmente, inhabilite los servicios gratuitos en
/etc/inetd.conf
usando update-inetd --disable (or
inhabilite todo inetd, o use un reemplazo como xinetd or rlinetd)
-
Inhabilite los otros servicios gratuitos de red; mail, ftp, DNS, www, etc no
deben estar corriendo si usted no los necesita y monitoréelos regularmente.
-
Para los servicios que necesite, no use solamente los programas comunes, busque
más versiones seguras enviadas por Debian (o busque otros recursos). Para
cualquier servicio que usted termine usando, asegúrese de entender los riesgos.
-
Monte celdas de directorio raíz distintos para usuarios externos y demonios.
-
Configure firewall y tcpwrappers (i.e.
hosts_access(5)
); revise
/etc/hosts.deny
en este texto.
-
si usted corre ftp, monte su servidor ftpd y siempre corra chrooted para el
directorio raíz del usuario
-
Si usted corre X, inhabilite la autenticación xhost y use ssh a cambio, mejor
aún, inhabilite X remoto si usted puede (adicione -nolisten tcp a X desde la
línea de comandos y apague XDMCP en
/etc/X11/xdm/xdm-config
configurando requestPort a 0)
-
Inhabilite el acceso externo a impresoras.
-
Use tunel para sesiones de IMAP o POP a través de SSL o ssh; instale stunnel si
usted quiere proporcionar este servicio a usuarios de correo remoto
-
Monte un loghost y configure otras máquinas para enviar logs a ésta
(
/etc/syslog.conf
)
-
asegure BIND, Sendmail, y otros demonios complejos (Configure una celda de
cambio de directorio ; corra como non-root pseudo-user)
-
Instale snort o una herramienta de logging similar.
-
Prescinda de NIS y RPC si usted puede (inhabilite portmap).
-
Políticas
-
Eduque a los usuarios acerca de los porque y los como de sus políticas. Cuando
usted ha prohibido algo que normalmente está disponible en otros sistemas,
suministre documenteción que explique como conseguir resultados similares
usando otros medios más seguros.
-
Prohiba el uso de protocolos que usa claves en texto plano (telnet, rsh y
friends; ftp, imap, http, ...).
-
Prohiba programas comoVGAlib.
-
manténegase informado sobre asuntos de seguridad
-
Subscríbase a la lista de correo de seguridad
-
Subscríbase a las actualizaciones de seguridad, adicione a
/etc/apt/sources.list
una entrada (o entradas) a
http://security.debian.org/debian-security
[ anterior ]
[ Contenidos ]
[ 1 ]
[ 2 ]
[ 3 ]
[ 4 ]
[ 5 ]
[ 6 ]
[ 7 ]
[ 8 ]
[ 9 ]
[ 10 ]
[ 11 ]
[ A ]
[ B ]
[ C ]
[ siguiente ]
Manual de Seguridad de Debian
2.4 (revisión de traducción 3) 5 marzo 2004 Tue, 30 Apr 2002 15:41:13 +0200
Javier Fernández-Sanguino Peña jfs@computer.org