Recomendaciones importantes para realizar la administracin de sistemas Linux.

Conoceremos algunos comandos esenciales y tambin diversos consejos de

seguridad.

En a clase anterior conocimos Ias principales caractersticas
de las diversas ediciones de Windows Server y revisamos los conceptos
asociados con Ia asignacin de derechos y las restricciones. Tambin vimos qu
es Active Directory y aprendimos a administrar Ias directivas de grupo en forma
avanzada. Por otra parte, analizamos Ia forma de comunicar servidores Linux con
clientes Windows y viceversa, y, para terminar, IistamDs los distintos tipos de
maiware que existen.


Servidores en G UlLinux

Luego de implementar un servidor GNU/Linux, Ias tareas de administracin y
configuracin iniciales son extensas y variadas; aqu conoceremos cmo realizar
las ms importantes.


los sistemas GNU/Linux pertenecen a la familia UNIX
y se distribuyen en forma libre, por lo que es posible acceder a su cdigo y
modificarlo. Una de las grandes ventajas de Ia implementacin de servidores
GNU/Linux es el ahorro en los costos de instalacin,
pero tambin se requiere una mayor especializacin por parte del personal
informtico. La puesta en marcha de un servidor basado en GNU/Linux demanda
dividir el proceso en varias etapas, de las cuales las ms importantes son:
instalacin, servicios bsicos y servicios avanzados.

Instalacin

Para realizar esta tarea, tenemos que elegir una distribucin, de modo que ser
importante comparar las opciones que nos ofrece el mercado, luego de lo cual
iniciamos Ia instalacin mnima y, posteriormente, realizamos el trabajo de
configuracin de los servicios.

Servicios bsicos La habilitacin y configuracin de los servicios bsicos nos
permitir realizar las tareas ms importantes segn Ias
necesidades de Ia red. Por ejemplo, precisamos integrar el quipo en una red,
ofrecer un servidor de sitios web con
Apache o configurar un servidor FTP;


Gestin de usuarios

Una de las tareas ms bsicas que tendremos que realizar es Ia gestin
de usuarios, para lo cual recurriremos a Ia consola de comandos. Debemos tener
presente que existen dos tipos de usuarios: el administrado o root; y los usuarios
comunes. Para realizar las tareas de administracin, necesitaremos poseer un
perfil de administrador o root.

La administracin de usuarios requiere que creemos y gestionemos Ias cuentas de
usuarios, grupos y Ia asignacin de permisos. Esta gestin se realizar cuando
debamos establecer polticas de seguridad en el equipo o en Ia red, o cuando
deseemos gestionar servidores NFS, FTP o web. Para comenza vamos a
gestionar los permisos, mediante el comando


TCNICO EN REDES V SEGURIDAD 16
Las lineas poseen el siguiente formato de estilo:
{T} {rwx} {rwx} {rwx} {N} {usuario} {grupo}
{tamao} {fecha de creacin}{nombre}
Campo T: indica qu tipo de archivo es.
Campo {rwx}: permisos que tiene el propietario.
Campo {rwx}: permisos que tiene el grupo.
Campo {rwx}: permisos del resto de usuarios.
Campo {N}: se refiere al nmero de archivos o de
directorios que contiene el elemento.
Campo {usuario}: se trata del nombre del usuario ai
que pertenece el archivo seleccionado.
Campo {grupo}: nombre del grupo al que pertenece.
Campo {tamao}: tamao.
Campo {fecha}: fecha de creacin.
Campo {nombre}: nombre


DELUSER NOS

PERMITE ELIMINAR

UN USUARIO.

Luego de esto, solo ingresamos Ia contrasea que se asociar al usuario
recin creado. La sintaxis completa para Ia gestin de usuarios es Ia
siguiente:addusr [-c comentario] [-d home] [-e
fecha] [-f dias] [-g grupo] [-G lista de
grupos] [-m [-k template] I -M] [-n] [-01
[-p passwdj [-r] [-s shell] [-u uid] usuario
Para eliminar un usuario utilizamos:
if deluser -R nombre_usuario



Unidades de almacenamiento y particiones

Como sabemos, las unidades de disco estn divididas en particiones, las cuales
almacenan el sistema que entrega la estructura en la cual se grabarn los
archivos. Por ejemplo, el directorio root de un sistema de archivos puede ser
montado en cualquier punto dei sistema global, aunque generalmente se ubicar
en /usr. Una buena idea a Ia hora de gestionar particiones es utilizar Ia
herramienta fdisk, cuya sintaxis es Ia siguiente:

fdisk [opciones] dispositivo

Esta herramienta se utiliza mediante un menU en modo texto, por lo que debemos
seguir una serie de pasos tendientes a crear una particin. A continuacin, vemos
un ejemplo:
Command (m for help): n
Command action e extended
p primary partition (1.4)
Partition number (1-4): 1
First cylinder (1-20805. default 1):
Using default value I
Last cyUnder or +size or +sizeM or +sizeK (1-20805, default
20805): +5G



Sus opciones son Ias siguientes:
filesystem: tipo de sistema de archivos que crearemos.
n_boques: nmero de bloques para el sistema de archivos.
A continuacin, vemos algunos ejemplos del uso de mkfs:
mkfs.ext2 o mke2fs: crea sistemas ext2.
mkfs.ext3: crea sistemas ext3.
mkfs.jfs, mkfs.reiserfs, mkfs.xfs: se encarga de crear los
sistemas de archivos iFS, ReiserFS y XFS.
mkfs.msdos, mkfs.vfat: crea sistemas MS-DOS.
mkswap: crea un sistema de ficheros de intercambio o swap.



Comandos de consola

Aqu conoceremos los comandos de consola ms comunes,que nos servirn para
enfrentar diversas acciones en GNU/Linux.


aciendo una breve resea histrica, ei mundo

GNU/Linux comienza en el ao 1983, por medio

dei manifiesto GNU No es UNIX; y Linux,

en referencia ai creador dei Kernel, Linus Torvaids.

El objetivo era desarrollar un sistema operativo

libre y de espritu colaborativo, Como primera medida,

vamos a familiarizarnos con el intrprete predeterminado

de comandos, llamado Bash, presente en Ia mayora de ias

distribuciones GNU/Linux, como Debian y CentOS; y tambin en

algunas versiones de MacOS X y en Ia mayora de los sistemas

operativos UNIX, ya que es heredado de este ltimo.

Los primeros pasos por consola

Una vez instalado el sistema operativo (sin interfaz grfica), vamos a iniciar sesin
como superusuario o root, ingresando
la contrasea definida en Ia instalacin; as ya tendremos listo el para ejecutar
comandos.

Comandos de visualizacin de contenido

Una vez que estemos configurando un servidor, realizando modificaciones o
editando algn servicio, debemos listar las configuraciones en cada caso, que se
encuentran alojadas, por lo general, en los archivos .conf. Por ejemplo, para el
demonio syslog, que administra los registros dei sistema en la distribucin Debian,
lo ubicamos en /etc/rsyslog.conf.
Ejecutamos el comando cat (proveniente de concatenar), utilizado para concatenar
archivos e imprimirlos por salida estndar (por ejemplo, pantalla). Su sintaxis es
muy simple y podemos observarla con man:
root@server:# man cat
root@server:# cd /etc
root@server:4t cat rsyslog.conf



Manipulacin de contenido

En este tem, veremos cmo crear, modificar, copiar y borrar
contenido desde Ia consola de un servidor GNU/Linux.
Para crear un directorio en Ia raz usaremos el comando mkdir,

Primero observamos Ias caractersticas con:

root@server:# man mkdir

Luego:
root@server:-.# mdkir /threctorio
Ahora, vamos a crear uno dentro de nuestra carpeta de usuario:
root@server:.# cd /home/usuario
root@server:# mkthr directorio

Creamos un archivo:
root@server: -4 touch archivoOl
Un comando til para tener en cuenta es pwd, que nos
devuelve en pantalla Ia ruta en donde estamos ubicados:
root@server: -4 pwd
/home/usuario

Luego, vamos a modificar este ltimo archivo creado,
con mv (abreviatura de move, en ingls):
root@server:-4 mv archivoO 1 archivoO2
Renombramos un directorio o carpeta:
root@server:# mv directorio/ directorio2


Empaquetado y compresin

Llamamos empaquetado a Ia agrupacin de archivos y directorios, lo que da como
resultado un solo archivo, pero sin estar comprimido. La herramienta por defecto
que tenemos un nuestro sistema operativo
GNU/Linux para hacerlo es tar. Para usarla, es necesario combinar diversos
argumentos con el fin de indicarle qu es lo que queremos como resultado; por
ejemplo, empaquetar o desempaquetar. Vamos a mencionar Ias variables bsicas
necesarias:

-C: crear un nuevo archivo.

-X: extraer contenido en donde estemos situados en consola.

-V: indicar que haga una salida de los archivos en el procedimiento.

0 -f: permite indicar que el argumento a continuacin es el nombre

que corresponde al archivo con Ia extensin .tar.

0 -t: argumento para listar contenido y visualizarlo.


Comandos de instalacin

En GNU/Linux, tenemos diferentes maneras de realizar instalaciones de paquetes,
todo depende de qu distribucin estemos usando, en qu formato se encuentren
o sitan solo estn en los repositorios de

Ia distribucin en uso.

Edicin de archivos de configuracin

Para modificar archivos de configuracin, realizar scripts y hacer tareas de
mantenimiento, necesitamos los editores.
Distribuciones como Debian GNU/Linux incorporan a nano como editor por
defecto, pero Ia realidad es que el navegador predefinido, presente en Ia gran
mayora de servidores que configuramos, es vi:
root@server:41 vi /etc/rsyslog


Linux Hardening

La seguridad en un servidor muchas veces no tiene Ia atencin que realmente
necesita. Aqu conoceremos algunas formas de aumentar el nivel de seguridad en
sistemas GNU/Linux.

stamos acostumbrados a tener en nuestros equipos un antivirus
y algn firewall incorporado por el sistema con muy pocas restricciones. Por lo
general, y con un poco de suerte, no ocurre nada grave si tenemos esos cuidados,
pero dependiendo de Ia informacin que manejemos o si estamos conectados a
Internet, podemos estar poniendo en serio riesgo nuestro sistema e informacin al
dejar todo librado al azar.

Configuracin

Configurar Linux puede ser una tarea fcil o difcil, dependiendo de cunto
queramos profundizar. Podemos usar el entorno grfico de algunas versiones,
ingresar muchas lneas de comandos, ejecutar scripts o utilizar herramientas que
nos ayuden en el proceso de administracin.
Existen muchas herramientas, como webmin, phpmyadmin y otras, pero a Ia hora
de configurar parmetros de seguridad, Bastille se destaca por su
simpleza y por capacitamos mientras configura todo lo necesario.

Modo interactivo: de acuerdo con el perfil que elijamos.
configurar Ia fortaleza dei equipo. Nos preguntar qu uso vamos a darle y
elegir Ia opcin ms adecuada. Modo manuaL nos dejar configurar todos los
parmetros de seguridad a nuestro gusto, explicando para qu sirve cada funcin.
Por ejemplo, nos ofrecer desactivar Ia parte administrativa solo para algunos
usuarios.

BASTILLE ES UNA HERRAMIENTA

GRATUITA QUE NOS PERMITE

ASEGURAR NUESTRO LINUX.

La seguridad se logra a travs de Ia ejecucin de scripts que nos permitirn, por
ejemplo, asegurar Apache, instalar SSH, asegurar FTPD, detectar escaneo de
puertos, asegurar Send Mail y el booteo de nuestro equipo (por ejemplo,
reduciendo el tiempo de espera de LILO y estableciendo una contrasea).

La instalacin en un servidor con un sistema Ubuntu es una tarea sencilla porque
viene incluido en los repositorios de la distribucin y podemos verlo fcilmente por
una sesin SSH.
Si lo ejecutamos en modo interactivo, nos har preguntas
para saber qu tipo de uso le daremos al equipo, y nos explicara por qu
recomienda configurar ese parmetro.
En caso de usar Bastille en modo texto, utilizaremos los comandos que
mencionamos a continuacin:


Bastille-Curses-module- 1.2.0-1.1 mdk.noarch.rpm
pert-Curses-i .05-10.386.rpm
En tanto que si lo usamos en modo grfico, recurrimos a:
Bastille-Tk-module-i.2 .0-1. lmdk.noaich.rpm
perl.-Tk-800.022-i 1 .i386.rpm
Para instalar Bastille ingresamos los siguientes comandos:
Bastille-i .3 .0.tar.bz2
Bastille-Curses-module- 1.2.0-1.1 mdk.noarch.rpm
perl-Curses-i .05-10.i386.rpm
Bastille-Tk-module-1 .2.0-1. lmdk.noarch.rpm
perl-Tk-800.022-11 .i386.rpm
$ tarxfj Bastille-i.3.0.tar.bz2
$ rpm -ivh Bastille-Curses-module- 1.2.0-1 .lmdk.noarch.rpm
$ rpm -ivh perl-Curses-1.05-10.i386.rpm
$ tarxpvf Bastille-1.3.0.tar
$ cdBastille
$ sh InstalLsh --> Instala Bastille en Ias determinadas Paths
$ ./InteractiveBastille --> ejecutar el scrip:
InteractiveBastille
Usage: InteractiveBastlle[ -x -c ] [--norequiresj
-X: use the Perl/Tk (Xli) GUI
-C: use the Curses (non-Xii) GUI
--norequires:askaflquestions, evenonesthat


Comandos: diagnstico de red procesos

En estas pginas presentaremos un completo listado de los comandos

Bsicos para hacer mantenimiento y localizar fallas en Ia red.


PARA USAR TCPDUMP, DEBEMOS

CUIDAR QUE NUESTRA PC NO

QUEDE FUERA DEL UMBRAL DE

AUDICIN DEL SISTEMA.

Si queremos cambiar direccin IP manualmente, debemos ingresar lo siguiente:
ifconfig ethO [Direccin IP] netmask[mscara subred]. Por ejemplo: ifconfig ethO
192.168.1.102 netmask 255.255.255.0
Si nuestra mquina tiene dos placas de red (con una plataforma de VolPasterisk,
por ejemplo), entonces les asignaremos diferentes IP a lo distintos ethX. Por
ejemplo: ifconfig ethO 192.168.1.102 netmask 255.255.255.0 itconfig ethi
10.100.0.10 netmask 255.255.0.0

En algunas oportunidades, tambin tendremos que asignarle la direccin de
broadcast con Ia IP dei router: ifconfig ethO 192.168.1.102 netmask 255.255.255.0
broadcast 192.168.1.100


Es recomendable que, despus de cambiar una direccin IP, se

baje y se suba (reset) Ia interfaz con los comandos down y up:

ifconfig down ifconfig up
iwconfig
Es similar al comando ifconfig, pero fue desarrollado para Ias
interfaces wireless. Lo utilizamos de Ia siguiente forma:
iwconfig: muestra el estado de Ias interfaces activas
iwconfig ethO: muestra cmo est configurada Ia placa inalmbrica.

iwconfig athO: muestra informacin de Ia red inalmbrica

(nombre de Ia red, canal, nivel de seal, velocidad, potencia,

cifrado WEP, punto de acceso, etc).

iwconfig athO essid Red_WiH: configura el nombre de la red

Wi-Fi o ESSID, con el nombre que queremos asociarnos.

dhclient

Dynamic Host Client se encarga de iniciar Ia conexin DHCP,

mediante el cliente dhcp-client. Usando el parmetro -r,

liberamos Ia IP actual; se usa de Ia siguiente forma:

dhdient ethO r: libera Ia IP actual

dhcient ethO: renueva Ia IP

netstat

Network Statistics muestra un listado de Ias conexiones activas,

tanto internas (Iocalhost) como externas, los sockets abiertos y las

tablas de enrutamiento. Lo usamos de Ia siguiente forma:

netstat -p: muestra los programas asociados a los sockets abiertos.

netstat -1: muestra los server sockets que estn en modo escucha.

netstat -s: muestra informacin sobre todos los puertos.

host

Sobre un nombre de dominio, el comando host devuelve Ia IP asociada a l, y
viceversa. Sobre una direccin IP, nos devuelve el
dominio asociado (DNS Iookup). Por ejemplo: host googe.com: muestra Ia IP de
Googlehost 8.8.8.8: muestra los DNS pblicos de Google




Seguridad a nivel de kernel

La seguridad en un sistema puede estar basada en el nivel de aplicacin o de
kernel; aqu presentaremos este ltimo, analizando sus detalles y Ia forma en que
podemos potenciarlo.


Seguridad

En Ia capa donde operan Ias aplicaciones, Linux provee todo tipo de software
orientado a que pueda darse mayor seguridad al
sistema desde un uso administrativo, configurando sus caractersticas en cuanto a
usuarios y contraseas, controles de acceso, sistema de archivos, inicio y parada,


Mejorar Ia seguridad

En el caso de sistemas Linux, s es posible mejorar Ia seguridad en el nivel del
kernel, lo cual, por cierto, nos obliga a comprender en mayor profundidad sus
distintos aspectos. Para modificar
caractersticas dei ncleo, por empezar, deberemos utilizar alguna herramienta
que nos permita gestionar todas Ias posibles funcionalidades que se pueden
cambiar, y luego, pasar por un proceso de recompilacin de dicho ncleo a partir
del cdigo fuente, lo que nos dar como resultado un nuevo ncleo, pero
modificado integrando los componentes que nosotros queramos.

Para realizar esta tarea, debemos contar, como dijimos, con el cdigo fuente del
ncleo, que obtenemos del sitio oficial

Verificacin de integridad

Es importante establecer un sistema que nos ayude a verificar Ia integridad de los
archivos importantes dei sistema; as detectaremos los intentos de modificacin
malintencionados de dichos archivos.


sabemos que no existen sistemas completamente invulnerables, razn por Ia
cual es necesario tener en cuenta que siempre estaremos expuestos a Ia
ejecucin de diversos ataques. Es cierto que podemos contar con algunas
medidas altamente efectivas, tales como firewalls, parches o polticas de control,
pero aun en su conjunto, estas no son capaces de brindarnos una
seguridad total. Ahora bien, Ia ejecucin de ataques a Ia red busca ejecutar


Tripwire

Es una aplicacin para entornos Linux, que funciona monitoreando Ia integridad de
aquellos archivos del sistema que son el blanco de ataques. Este sistema de
verificacin de integridad es capaz de comparar los archivos en los intervalos que
configuremos, aunque debemos tener en cuenta que, cuanto ms reducidos sean
estos intervalos, ms recursos del sistema se utilizarn.


AFICK

Afick (http://afick.sourceforge.net) es una aplicacin que se encarga de supervisar
los cambios que se produzcan en el sistema de archivos del equipo, de forma de
mantenernos alertados sobre cualquier modificacin, lo que podra significar Ia
presencia de una intrusin. Entre Ias principales caractersticas de AFICK
encontramos Ias siguientes: Se trata de una aplicacin porttil y multiplataforma,
por lo que podremos utilizarla en diversos sistemas operativos, tales como
Microsoft Windows o GNU/Linux.
EI proceso de instalacin de esta herramienta es sencilla, y su inicio y ejecucin,
bastante rpidos.
Nos permite acceder a los datos relacionados con los archivos que han sido
creados, eliminados o cambiados.


Proteccin
ante rootkits

En estas pginas veremos qu son, cmo funcionan, cmo detectarlos, y de qu
forma eliminamos los rootkits de sistemas UNIX, Windows, y ms. Aprenderemos
Ias mejores prcticas para mantenernos protegidos.


en rootkit es un tipo de maiware, es decir, un
programa malicioso que se ejecuta sin ser percibido por el usuario o administrador
del sistema. Si bien en general se utiliza en servidores, puede afectar cualquier
tipo de dispositivo, como computadoras de escritorio, tablets o telfonos.


LA MEJOR FORMA DE

DETECTAR ROOTKITS

ES BOOTEANDO CON

UN LIVE DVD, AS

NO UTILIZAMOS LOS

UTILITARIOS DEL

SISTEMA INFECTADO.

Su nombre proviene de los trminosroot (nombre del usuario privilegiado en
Linux/UNIX) y kit(ya que suelen incluir varias herramientas). En un principio se
asociaban solo a sistemas operativos del tipo UNIX, pero tambin han
incursionado en equipos Windows, Mac OSX, routers Cisco, controladores PLC el
incluso en Android, iOS y Symbian.


chkrootkit es una herramienta de origen brasileo que permite detectar
rootkits instalados en sistemas UNIX! Linux. Consiste en un shell script que se
encarga de utilizar herramientas del sistema para detectar Ias
modificaciones realizadas por un rootkit. Puede utilizarse desde un Live CD, que
resulta o ms conveniente, ya que de esta manera no utiliza componentes del
sistema operativo que puedan estaralterados por maiware.


El malware enlos sistemas Linux

Revisaremos Ia historia y actualidad dei maiware en los sistemas
GNU/Linux, y veremos qu aspectos tener en cuenta y cmo proteger
nuestra red de Ias infecciones provocadas por maiware.



Realmente, es difcil crear malware transportable para equipos GNU/Linux que
pueda infectar muchos equipos al mismo tiempo.
Por ejemplo, Apple afirma que su sistema MAC
OSX (basado en BSD) no va a quitarnos tiempo con
constantes alertas y preguntas de seguridad. Esto es as porque
cada Mac viene de fbrica con una configuracin segura, de
modo que no debemos preocuparnos por entender Ias complejas
configuraciones. Algo similar sucede en el mundo Linux: sabemos que el maiware
en estos sistemas no es tan comn como en
Windows. Algunos de los factores que influyen para que esto sea
as son los que analizamos a continuacin


Maiware en GNUIL1nux

Como sabemos, es ms difcil crear maiware para UNIX/Linux, pero aun as,
existe, y debemos estar atentos y llevar a cabo algunas acciones para
protegernos.
EI primer gusano para este sistema fue denominado gusano de
Morris, en referencia a su creador Robert Morris. Se propag
explotando una vulnerabilidad presente en Sendmail (MIA) en el ao 1988. Ms
recientemente, durante los aos 2009 y 2010 se detect maiware para GNU/Linux
conocido como


Lin ux/PsyBot.A. Este era capaz de infectar mdems y routers
ADSL que utilizaban este sistema operativo y convertirlos en
parte del botnet psybOt. Llevaba a cabo ataques DD0S
(Distributed Denial Of Service). Tambin se detectaron troyanos
escondidos, por ejemplo, bajo falsos protectores de pantalla, o
versiones troyano de software como Unreal IRC y Pr0FTPD,
este ltimo estuvo activo durante ms de seis meses. Uno de los
ltimos malware detectados para Linux puede automticamente
infectar sitios web de un servidor para atacar a los navegantes
con drive-by-download (software malicioso que confunde o engaa al usuario para
ser instalado e infectar su sistema).Acta como un rootkit, ocultndose de los
administradores.
Los navegadores web que accedan a Ias pginas hosteadas en
el servidor infectado sern direccionados a un iframe oculto que
descargar malware en Ia computadora cliente. Este malware en
particular posee una gran sofisticacin, porque se ejecuta a nivel
del kernel. Por ejemplo, puede infectar servidores en Ia intranet de una empresa
para, luego, infectar a los usuarios internos.


Maiware multiplataforma

El maiware multiplataforma consiste en un mismo programa que puede ejecutarse
e infectar diversos sistemas operativos.
Uno de los casos ms relevantes fue el troyano Koobface, que luego de estar
activo durante ms de dos aos con versiones para
Windows, en octubre de 2010 lanz una primera variante que afectaba tambin
sistemas Linux y Mac usando un applet de Java.
Este malware identifica Ia versin dei sistema operativo
y ejecuta ia amenaza segn Ia plataforma donde reside.
El malware que aprovecha el desbordamiento de pila (buffer)
se encuentra cada vez ms limitado, porque Ias versiones
actuales de kernel para sistemas GNU/Linux protegen el
espacio de memoria y de esta forma evitan que los programas
puedan infringir el segmento asignado para su ejecucin.


Seguridad en entornos de red Linux

analizaremos las configuraciones que hacen a Ia seguridad de Linux,
sus componentes ms importantes y los valores recomendados.

la correcta instalacin y configuracin de un sistema desde el inicio es
fundamental para tener una red segura. La primera buena prctica que debemos
tener en cuenta es realizar Ia instaladn bsica o mnima que ofrece el instalador
Linux. Es decir, no instalar todos los componentes pensando que en algn
momento pueden llegar a ser tiles, sino instalar solo lo necesario. Otra buena
idea es conseguir Ias versiones hardenizadas (ms seguras) de Ia
distribucin que vamos a usar. Por ejemplo, Gentoo cuentacon una versin
Gentoo hardened, que puede descargarse directamente. RedHat y SuSe, por su
parte, ofrecen una gua de hardening que debe aplicarse luego de Ia instalacin.
El CIS (The Center for Internet Securitp) es un organismo que desarrolla guas
para establecer configuraciones seguras en gran cantidad de sistemas operativos,
incluidas muchas distribuciones Linux.

SELinux

Una extensin para Linux muy reconocida en el ambiente de Ia seguridad es
SELinux (Security Enhanced Linux). Protege el modelo de seguridad tan expuesto
para los administradores que posee Linux y brinda una mayor granularidad en los
controles de acceso. Por ejemplo, en vez de solo otorgar privilegios de lectura,
escritura y ejecucin sobre un archivo, permite asignar permisos para anexar,
mover un archivo y realizar otras operaciones de manera individual.

Recomendaciones

En referencia al sistema de archivos, se recomienda montar Ias particiones de
S.O. y los datos usando el sistema
exte, que ofrece mayor integridad que las versiones anteriores, gracias a Ia
funcionalidad journaling. Adems, se recomienda impedir el uso de programas o
shell con permisos de suid y sqid, con Ia excepcin de los programas predefinidos
dei sistema u otros requeridos por Ias aplicaciones especficas, ya que estas
funcionalidades permiten que un ejecutable sea invocado con los permisos dei
owner.

Acceso remoto

En cuanto a los parmetros de acceso remoto y configuraciones de red,
consideraremos los siguientes aspectos: Deshabilitar IP-forwarding a fin de
impedir ei ruteo de paquetes IP entre Ias placas de red dei servidor. Para esto,
ejecutar el comando: it /bin/echo bOU /
proc/sys/net/ipv4/ip_forward.
Descartar paquetes ping (mensajes
ICMP tipo O), porque podran brindar
informacin que un atacante fuera
capaz de aprovechar.


Equipos y usuarios

El archivo /etc/hosts.equiv permite definir equipos y/o usuarios sobre los cuales se
tendr confianza, implicando que un usuario pueda iniciar sesin o acceder a
recursos en forma remota sin necesidad de brindar una contrasea. Este archivo
no debera poseer las entradas del tipo , ya que permite el acceso desde
cualquier host al sistema. La instalacin inicial del sistema debera encontrarse
libre de servicios de red. Estos deberan se activados de forma posterior segn la
necesidad. El servicio de SSH se configura


ListenAddiess: limita Ias escuchas del protocolo en Ia direccin definida.
PermitRootLogin: indica si se permite el ingreso remoto del usuario root.
PermitEmptyPasswords: determina si impide el acceso de usuarios habilitados sin
contrasea asignada.
AltowGroups sshusers: limita el uso del servicio ssh al grupo sshusers.

Por ltimo, debemos mantener el kernel del sistema y las aplicaciones
actualizados. Para esto, recurrimos al comando # yum update o # apt-get
update && apt-get upgrade..