Antes de instalar algún sistema operativo en su computador, establezca una contraseña BIOS. Después de la instalación (una vez se haya posibilitado la entrada desde el disco duro) regrese a BIOS y cambie la secuencia de la entrada al programa para incapacitar el ingreso al disco flexible, al CD-ROM y otros dispositivos desde los que no se debería entrar. De otro modo un cracker solo necesitaría acceso físico y un disco de entrada para tener acceso a su sistema entero.
Inhabilitar El ingreso al programa sin una contraseña es mejor. Este puede ser muy efectivo si usted está administrando un servidor, porque éste no es reiniciado muy frecuentemente. El inconveniente para esta táctica es que el ingreso requiere intervención humana la cual puede causar problemas si la máquina no es de fácil acceso.
Un esquema de partición inteligente depende de como sea usada la máquina. Una buena regla del tonto, es ser completamente tolerante con sus particiones y prestar atención a los siguientes factores:
/home
y /tmp
,debería estar en una
partición separada. Esto reduce el riesgo de un DoS por parte de un usuario,
al llenar su punto de montaje de "/" y tornar el sistema inservible.
(Nota: esto no es estrictamente verdadero, dado que siempre hay algún espacio
reservado para el administrador, el cual un usuario normal no puede llenar).
/var
(especialmente
/var/log
) también debería estar en una partición separada. En un
sistema Debian, usted debe crear/var un poco más grande de lo normal, debido a
que los paquetes bajados (el apt cache) son guardados en
/var/cache/apt/archives
. Esto es mucho más importante para los
servidores del correo (/var/mail
y/o /var/spool/mail
)
ya que los usuarios remotos pueden llenar la cola del correo a propósito
(intencionalmente o sin quererlo).
/opt
o
/usr/local
. Si estos están en particiones separadas, no serán
borrados si usted tiene que reinstalar Debian.
El sistema que usted va a instalar no debe estar conectado a Internet inmediatamente, durante la instalación. Esto puede sonar estúpido pero usualmente lo hacen. Ya que el sistema instalará y activará los servicios inmediatamente, si el sistema es conectado a Internet y los servicios no están correctamente configurados, usted está abierto para sufrir un ataque.
También verifique si algún servicio tiene nuevas vulnerabilidades de seguridad no arreglados en los paquetes que usted está usando para la instalación. Esto es cierto usualmente, si usted está instalando desde un medio antiguo (como CD-ROM) . En este caso, ¡puede estar comprometido antes de que la instalación se haya terminado!
Como la instalación y las actualizaciones de Debian pueden ser hechas en
Internet, usted debe pensar que es una buena idea usar esta característica en
la instalación. Si el sistema va a ser conectado directamente a Internet (y
sin estar protegido por una barrera o un NAT), es mejor opoción instalar sin
conexión a Internet usando un espejo de paquetes locales desde fuentes de los
paquetes de Debian y de los datos de actualización de seguridad. Usted puede
organizar los espejos de paquetes, usando otro sistema conectado a Internet y
con las herramientas específicas de Debian (si éste es un sistema Debian) como
apt-move
o apt-proxy
u otras herramientas comunes
para espejos que proveean los archivos para el sistema instalado.
Colocar una buena contraseña a root es el más básico requerimiento para tener un sistema seguro.
Al final de la instalación, se le preguntará si las contraseñas de SHADOW deben
estar habilitadas. Se responde con un SI a esta pregunta, porque las
contraseñas se mantendrán en el archivo /etc/shadow
. Solo el
usuario de ROOT y el grupo shadow tienen acceso de lectura a este archivo, así
que los usuarios no estarán aptos para tomar una copia de este archivo con el
objeto de que funcione en contra de este. Usted puede cambiar entre las
contraseñas de SHADOW y las contraseñas normales en cualquier momento por usar
shadowconfig. Sin embargo si usted QUIERE durante la instalación
usar las contraseñas presentadas en MD5. Esto es generalmente una muy buena
idea ya que permite unas contraseñas más extensas y una mejor encripción.
Lea mas acerca de las contraseñas de Shadow Shadow
Password
(/usr/share/doc/HOWTO/en-txt/Shadow-Password.txt.gz
).
Los servicios son programas tales como los servidores de ftp y los servidores de la Web. Ya que ellos deben estar escuchando las conexiones entrantes que requieren el servicio externo de los computadores para poder conectarse con usted. Los servicios son algunas veces vulnerables (i.e. puede estar comprometido bajo un ataque dado) y por lo tanto son un riesgo de seguridad.
Usted no debería instalar servicios innecesarios para su máquina. Todo servicio instalado nuevo, quizás sin evidencia (o evidentemente), puede crear fallas de seguridad en su computador.
/etc/rc?.d/*
Como es bien sabido, cuando usted instala un servicio
dado, el comportamiento erróneo es activarlo. En una instalación errónea de
Debian, sin servicios instalados, la huella de los servicios recorridos es
lenta y es aun más lento cuando se habla acerca de los servicios ofrecidos en
la red. La huella en Debian 2.1 no era tan difícil como la 2.2 (algunos
servicios inetd fueron permitidos por descuido) y en el Debian 2.2 el Rpc
PORTMAPPER se permite para la instalación. Rpc es instalado por descuido
porque este es necesitado por muchos servicios, por ejemplo NFS, para recorrer
en un sistema dado. Esto puede ser removido fácilmente, sin embargo, vea Deshabilitar los demonios, Sección 3.6.1 para saber
como desactivarlo.
Cuando usted instale un nuevo servicio relacionado a la red (demonio) en su
sistema Debian GNU/ Linux este puede ser habilitado de dos formas: a través del
superdemonio de inetd (i.e una línea será adherida a
/etc/inetd.conf
) o a través de un programa automático que se
ratifica a si mismo con el conector de unidades del sistema. Los programas
automáticos son controlados a través de los archivos /etc/init.d
,
los cuales son llamados al momento de entrar a través del mecanismo SysV (o una
alternativa mas) por usar conexiones del sistema en /etc/rc?.d/*
(para mas información sobre como hacer la lectura
/usr/share/doc/sysvinit/README.runlevels.gz
).
Si usted aun desea tener algunos servicios para usarlos de vez en cuando, use los comandos de update, e.g. 'update-inetd' y 'update-rc.d' para eliminarlos del proceso de inicio.
Incapacitar un demonio (o servicio) es muy sencillo. Hay diferentes métodos:
/etc/rc${runlevel}.d/
o renombrar las
conexiones (así que ellos no empezarán con 'S')
/etc/init.d/_service_name_
) a otro
nombre (por ejemplo /etc/init.d/OFF._service_name_
)
/etc/init.d/_service_name_
.
/etc/init.d/_service_name_
para que éste se pare
nada más ejecutarse.
Usted puede eliminar estas conexiones de /etc/rc${runlevel}.d/
manualmente o usando update-rc.d (ver
update-rc.d(8)
). Por ejemplo, Usted puede inhabilitar un servicio
de ejecución en los niveles haciendo:
update-rc.d stop XX 2 3 4 5 .
Por favor note que, si usted no está usando file-rc
,
update-rc.d -f _service_ remove no trabajara adecuadamente, ya que
todas las conexiones son removidas, cuando se realice la reinstalación
o crezca el paquete, estas conexiones estarán regeneradas (probablemente no
como usted quería). Si usted piensa que esto no es intuitivo probablemente
usted estaría en lo cierto (vea Bug 67095
. Del manual de
paginas:
Si algunos archivos /etc/rcrunlevel.d/[sk]??nombre ya existen entonces update-rc.d no hace nada. Esto ocurre porque el sistema administrador puede reorganizar las conexiones, permitiendo que ellos dejen la ultima conexión que queda, sin tener su configuración sobrescrita.
Si usted esá usando file-rc
toda la información relativa a los
servicios de entrada está manejada por un archivo de configuración común y es
mantenido aun sí los paquetes son removidos del sistema.
Usted puede usar el TUI (Texto Interfaces del Usuario) proporcionado por
rcconf
para hacer todos estos cambios fácilmente
(rcconf
trabaja de dos formas por file-rc y el sistema normal V
runlevels).
Otros métodos (no recomendables) de servicios inhabilitados son: chmod
644 /etc/init.d/_demonio_ (pero éste provocará un mensaje de error
cuando usted entre al sistema) o modificar la escritura de
/etc/init.d/_demonio_
(añadiendo una línea con exit 0
al comienzo o comentando la parte start-stop-daemon). Ya que los
archivos init.d son archivos de configuración, éstos no serán sobrescritos al
actualizar programas.
Desafortunadamente, a diferencia de otros sistema operativos (UNIX), los
servicios en Debian no pueden ser desactivados al modificar los archivos en
/etc/default/_servicename_
.
ARREGLAME: Proporcionar mas información sobre el manejo de demonios usando file-rc.
Usted debe parar todos los servicios innecesarios en su sistema, como echo, chargen, discard, daytime, time, talk, ntalk y r-services (rsh, rlogin y rcp) los cuales son considerados ALTAMENTE inseguros (en cambio use ssh). Después de inhabilitarlos, usted debe revisar si realmente necesita el demonio inetd. Mucha gente prefiere usar los demonios en lugar de servicios de llamada via inetd. En los ataques de Denial of service existen posibilidades en contra de inedt, las cuales pueden incrementar la carga de la máquina tremendamente. Si usted aun quiere ejecutar algún tipo de servicio inedt, utilize un demonio de inet más configurable como xinetd o rlinetd.
Usted puede inhabilitar directamente los servicios por la edición de
/etc/inetd.conf
, pero Debian proporciona una mejor alternativa
para hacer esto:update-inetd (el cual comenta los servicios de una
forma que este pude fácilmente ser reactivado de nuevo). Usted podría eliminar
el demonio telnet ejecutando estos comandos para cambiar el archivo de
configuración y reiniciar el demonio (en este caso el servicio telnet es
inhabilitado):
/usr/sbin/update-inetd --disable telnet
Si usted quiere tener servicios escuchando, pero no quiere que escuchen todas
las direcciones IP de su host, usted podría usar una característica no
documentada de inetd.. O usar un demonio inetd alterno como
xinetd
.
Nunca es malo dar un vistazo en cualquier lista de correo de los anuncios de seguridad de Debian, donde son anunciados avisos y correcciones para promocionar paquetes por el equipo de Debian, o en debian-security@lists.debian.org, donde usted puede participar en discusiones acerca de cosas relacionadas a la Seguridad de Debian.
Para recibir alertas importantes de la seguridad de update. Envíe un e-mail a
debian-security-announce-request@lists.debian.org
con
la palabra 'suscribir' en la línea "subject". Usted también puede
suscribirse a esta lista e-mail moderada en la pagina Web http://www.debian.org/MailingLists/subscribe
Estas listas de correo tienen un muy bajo volumen, y al suscribirse a esta usted será inmediatamente alertado de los asuntos de seguridad de la distribución Debian. Esto le permite rápidamente cargar nuevos paquetes con correcciones en la seguridad, lo cual es muy importante en el mantenimiento de un sistema seguro. (VeaEjecute una actualización de seguridad, Sección 4.6 para mas detalles sobre como hacer esto.)
Manual de Seguridad de Debian
2.4 (revisión de traducción 3) 5 marzo 2004 Tue, 30 Apr 2002 15:41:13 +0200jfs@computer.org