Recomendaciones importantes para realizar la administracin de sistemas Linux.
Conoceremos algunos comandos esenciales y tambin diversos consejos de
seguridad.
En a clase anterior conocimos Ias principales caractersticas de las diversas ediciones de Windows Server y revisamos los conceptos asociados con Ia asignacin de derechos y las restricciones. Tambin vimos qu es Active Directory y aprendimos a administrar Ias directivas de grupo en forma avanzada. Por otra parte, analizamos Ia forma de comunicar servidores Linux con clientes Windows y viceversa, y, para terminar, IistamDs los distintos tipos de maiware que existen.
Servidores en G UlLinux
Luego de implementar un servidor GNU/Linux, Ias tareas de administracin y configuracin iniciales son extensas y variadas; aqu conoceremos cmo realizar las ms importantes.
los sistemas GNU/Linux pertenecen a la familia UNIX y se distribuyen en forma libre, por lo que es posible acceder a su cdigo y modificarlo. Una de las grandes ventajas de Ia implementacin de servidores GNU/Linux es el ahorro en los costos de instalacin, pero tambin se requiere una mayor especializacin por parte del personal informtico. La puesta en marcha de un servidor basado en GNU/Linux demanda dividir el proceso en varias etapas, de las cuales las ms importantes son: instalacin, servicios bsicos y servicios avanzados.
Instalacin
Para realizar esta tarea, tenemos que elegir una distribucin, de modo que ser importante comparar las opciones que nos ofrece el mercado, luego de lo cual iniciamos Ia instalacin mnima y, posteriormente, realizamos el trabajo de configuracin de los servicios.
Servicios bsicos La habilitacin y configuracin de los servicios bsicos nos permitir realizar las tareas ms importantes segn Ias necesidades de Ia red. Por ejemplo, precisamos integrar el quipo en una red, ofrecer un servidor de sitios web con Apache o configurar un servidor FTP;
Gestin de usuarios
Una de las tareas ms bsicas que tendremos que realizar es Ia gestin de usuarios, para lo cual recurriremos a Ia consola de comandos. Debemos tener presente que existen dos tipos de usuarios: el administrado o root; y los usuarios comunes. Para realizar las tareas de administracin, necesitaremos poseer un perfil de administrador o root.
La administracin de usuarios requiere que creemos y gestionemos Ias cuentas de usuarios, grupos y Ia asignacin de permisos. Esta gestin se realizar cuando debamos establecer polticas de seguridad en el equipo o en Ia red, o cuando deseemos gestionar servidores NFS, FTP o web. Para comenza vamos a gestionar los permisos, mediante el comando
TCNICO EN REDES V SEGURIDAD 16 Las lineas poseen el siguiente formato de estilo: {T} {rwx} {rwx} {rwx} {N} {usuario} {grupo} {tamao} {fecha de creacin}{nombre} Campo T: indica qu tipo de archivo es. Campo {rwx}: permisos que tiene el propietario. Campo {rwx}: permisos que tiene el grupo. Campo {rwx}: permisos del resto de usuarios. Campo {N}: se refiere al nmero de archivos o de directorios que contiene el elemento. Campo {usuario}: se trata del nombre del usuario ai que pertenece el archivo seleccionado. Campo {grupo}: nombre del grupo al que pertenece. Campo {tamao}: tamao. Campo {fecha}: fecha de creacin. Campo {nombre}: nombre
DELUSER NOS
PERMITE ELIMINAR
UN USUARIO.
Luego de esto, solo ingresamos Ia contrasea que se asociar al usuario recin creado. La sintaxis completa para Ia gestin de usuarios es Ia siguiente:addusr [-c comentario] [-d home] [-e fecha] [-f dias] [-g grupo] [-G lista de grupos] [-m [-k template] I -M] [-n] [-01 [-p passwdj [-r] [-s shell] [-u uid] usuario Para eliminar un usuario utilizamos: if deluser -R nombre_usuario
Unidades de almacenamiento y particiones
Como sabemos, las unidades de disco estn divididas en particiones, las cuales almacenan el sistema que entrega la estructura en la cual se grabarn los archivos. Por ejemplo, el directorio root de un sistema de archivos puede ser montado en cualquier punto dei sistema global, aunque generalmente se ubicar en /usr. Una buena idea a Ia hora de gestionar particiones es utilizar Ia herramienta fdisk, cuya sintaxis es Ia siguiente:
fdisk [opciones] dispositivo
Esta herramienta se utiliza mediante un menU en modo texto, por lo que debemos seguir una serie de pasos tendientes a crear una particin. A continuacin, vemos un ejemplo: Command (m for help): n Command action e extended p primary partition (1.4) Partition number (1-4): 1 First cylinder (1-20805. default 1): Using default value I Last cyUnder or +size or +sizeM or +sizeK (1-20805, default 20805): +5G
Sus opciones son Ias siguientes: filesystem: tipo de sistema de archivos que crearemos. n_boques: nmero de bloques para el sistema de archivos. A continuacin, vemos algunos ejemplos del uso de mkfs: mkfs.ext2 o mke2fs: crea sistemas ext2. mkfs.ext3: crea sistemas ext3. mkfs.jfs, mkfs.reiserfs, mkfs.xfs: se encarga de crear los sistemas de archivos iFS, ReiserFS y XFS. mkfs.msdos, mkfs.vfat: crea sistemas MS-DOS. mkswap: crea un sistema de ficheros de intercambio o swap.
Comandos de consola
Aqu conoceremos los comandos de consola ms comunes,que nos servirn para enfrentar diversas acciones en GNU/Linux.
aciendo una breve resea histrica, ei mundo
GNU/Linux comienza en el ao 1983, por medio
dei manifiesto GNU No es UNIX; y Linux,
en referencia ai creador dei Kernel, Linus Torvaids.
El objetivo era desarrollar un sistema operativo
libre y de espritu colaborativo, Como primera medida,
vamos a familiarizarnos con el intrprete predeterminado
de comandos, llamado Bash, presente en Ia mayora de ias
distribuciones GNU/Linux, como Debian y CentOS; y tambin en
algunas versiones de MacOS X y en Ia mayora de los sistemas
operativos UNIX, ya que es heredado de este ltimo.
Los primeros pasos por consola
Una vez instalado el sistema operativo (sin interfaz grfica), vamos a iniciar sesin como superusuario o root, ingresando la contrasea definida en Ia instalacin; as ya tendremos listo el para ejecutar comandos.
Comandos de visualizacin de contenido
Una vez que estemos configurando un servidor, realizando modificaciones o editando algn servicio, debemos listar las configuraciones en cada caso, que se encuentran alojadas, por lo general, en los archivos .conf. Por ejemplo, para el demonio syslog, que administra los registros dei sistema en la distribucin Debian, lo ubicamos en /etc/rsyslog.conf. Ejecutamos el comando cat (proveniente de concatenar), utilizado para concatenar archivos e imprimirlos por salida estndar (por ejemplo, pantalla). Su sintaxis es muy simple y podemos observarla con man: root@server:# man cat root@server:# cd /etc root@server:4t cat rsyslog.conf
Manipulacin de contenido
En este tem, veremos cmo crear, modificar, copiar y borrar contenido desde Ia consola de un servidor GNU/Linux. Para crear un directorio en Ia raz usaremos el comando mkdir,
Primero observamos Ias caractersticas con:
root@server:# man mkdir
Luego: root@server:-.# mdkir /threctorio Ahora, vamos a crear uno dentro de nuestra carpeta de usuario: root@server:.# cd /home/usuario root@server:# mkthr directorio
Creamos un archivo: root@server: -4 touch archivoOl Un comando til para tener en cuenta es pwd, que nos devuelve en pantalla Ia ruta en donde estamos ubicados: root@server: -4 pwd /home/usuario
Luego, vamos a modificar este ltimo archivo creado, con mv (abreviatura de move, en ingls): root@server:-4 mv archivoO 1 archivoO2 Renombramos un directorio o carpeta: root@server:# mv directorio/ directorio2
Empaquetado y compresin
Llamamos empaquetado a Ia agrupacin de archivos y directorios, lo que da como resultado un solo archivo, pero sin estar comprimido. La herramienta por defecto que tenemos un nuestro sistema operativo GNU/Linux para hacerlo es tar. Para usarla, es necesario combinar diversos argumentos con el fin de indicarle qu es lo que queremos como resultado; por ejemplo, empaquetar o desempaquetar. Vamos a mencionar Ias variables bsicas necesarias:
-C: crear un nuevo archivo.
-X: extraer contenido en donde estemos situados en consola.
-V: indicar que haga una salida de los archivos en el procedimiento.
0 -f: permite indicar que el argumento a continuacin es el nombre
que corresponde al archivo con Ia extensin .tar.
0 -t: argumento para listar contenido y visualizarlo.
Comandos de instalacin
En GNU/Linux, tenemos diferentes maneras de realizar instalaciones de paquetes, todo depende de qu distribucin estemos usando, en qu formato se encuentren o sitan solo estn en los repositorios de
Ia distribucin en uso.
Edicin de archivos de configuracin
Para modificar archivos de configuracin, realizar scripts y hacer tareas de mantenimiento, necesitamos los editores. Distribuciones como Debian GNU/Linux incorporan a nano como editor por defecto, pero Ia realidad es que el navegador predefinido, presente en Ia gran mayora de servidores que configuramos, es vi: root@server:41 vi /etc/rsyslog
Linux Hardening
La seguridad en un servidor muchas veces no tiene Ia atencin que realmente necesita. Aqu conoceremos algunas formas de aumentar el nivel de seguridad en sistemas GNU/Linux.
stamos acostumbrados a tener en nuestros equipos un antivirus y algn firewall incorporado por el sistema con muy pocas restricciones. Por lo general, y con un poco de suerte, no ocurre nada grave si tenemos esos cuidados, pero dependiendo de Ia informacin que manejemos o si estamos conectados a Internet, podemos estar poniendo en serio riesgo nuestro sistema e informacin al dejar todo librado al azar.
Configuracin
Configurar Linux puede ser una tarea fcil o difcil, dependiendo de cunto queramos profundizar. Podemos usar el entorno grfico de algunas versiones, ingresar muchas lneas de comandos, ejecutar scripts o utilizar herramientas que nos ayuden en el proceso de administracin. Existen muchas herramientas, como webmin, phpmyadmin y otras, pero a Ia hora de configurar parmetros de seguridad, Bastille se destaca por su simpleza y por capacitamos mientras configura todo lo necesario.
Modo interactivo: de acuerdo con el perfil que elijamos. configurar Ia fortaleza dei equipo. Nos preguntar qu uso vamos a darle y elegir Ia opcin ms adecuada. Modo manuaL nos dejar configurar todos los parmetros de seguridad a nuestro gusto, explicando para qu sirve cada funcin. Por ejemplo, nos ofrecer desactivar Ia parte administrativa solo para algunos usuarios.
BASTILLE ES UNA HERRAMIENTA
GRATUITA QUE NOS PERMITE
ASEGURAR NUESTRO LINUX.
La seguridad se logra a travs de Ia ejecucin de scripts que nos permitirn, por ejemplo, asegurar Apache, instalar SSH, asegurar FTPD, detectar escaneo de puertos, asegurar Send Mail y el booteo de nuestro equipo (por ejemplo, reduciendo el tiempo de espera de LILO y estableciendo una contrasea).
La instalacin en un servidor con un sistema Ubuntu es una tarea sencilla porque viene incluido en los repositorios de la distribucin y podemos verlo fcilmente por una sesin SSH. Si lo ejecutamos en modo interactivo, nos har preguntas para saber qu tipo de uso le daremos al equipo, y nos explicara por qu recomienda configurar ese parmetro. En caso de usar Bastille en modo texto, utilizaremos los comandos que mencionamos a continuacin:
Bastille-Curses-module- 1.2.0-1.1 mdk.noarch.rpm pert-Curses-i .05-10.386.rpm En tanto que si lo usamos en modo grfico, recurrimos a: Bastille-Tk-module-i.2 .0-1. lmdk.noaich.rpm perl.-Tk-800.022-i 1 .i386.rpm Para instalar Bastille ingresamos los siguientes comandos: Bastille-i .3 .0.tar.bz2 Bastille-Curses-module- 1.2.0-1.1 mdk.noarch.rpm perl-Curses-i .05-10.i386.rpm Bastille-Tk-module-1 .2.0-1. lmdk.noarch.rpm perl-Tk-800.022-11 .i386.rpm $ tarxfj Bastille-i.3.0.tar.bz2 $ rpm -ivh Bastille-Curses-module- 1.2.0-1 .lmdk.noarch.rpm $ rpm -ivh perl-Curses-1.05-10.i386.rpm $ tarxpvf Bastille-1.3.0.tar $ cdBastille $ sh InstalLsh --> Instala Bastille en Ias determinadas Paths $ ./InteractiveBastille --> ejecutar el scrip: InteractiveBastille Usage: InteractiveBastlle[ -x -c ] [--norequiresj -X: use the Perl/Tk (Xli) GUI -C: use the Curses (non-Xii) GUI --norequires:askaflquestions, evenonesthat
Comandos: diagnstico de red procesos
En estas pginas presentaremos un completo listado de los comandos
Bsicos para hacer mantenimiento y localizar fallas en Ia red.
PARA USAR TCPDUMP, DEBEMOS
CUIDAR QUE NUESTRA PC NO
QUEDE FUERA DEL UMBRAL DE
AUDICIN DEL SISTEMA.
Si queremos cambiar direccin IP manualmente, debemos ingresar lo siguiente: ifconfig ethO [Direccin IP] netmask[mscara subred]. Por ejemplo: ifconfig ethO 192.168.1.102 netmask 255.255.255.0 Si nuestra mquina tiene dos placas de red (con una plataforma de VolPasterisk, por ejemplo), entonces les asignaremos diferentes IP a lo distintos ethX. Por ejemplo: ifconfig ethO 192.168.1.102 netmask 255.255.255.0 itconfig ethi 10.100.0.10 netmask 255.255.0.0
En algunas oportunidades, tambin tendremos que asignarle la direccin de broadcast con Ia IP dei router: ifconfig ethO 192.168.1.102 netmask 255.255.255.0 broadcast 192.168.1.100
Es recomendable que, despus de cambiar una direccin IP, se
baje y se suba (reset) Ia interfaz con los comandos down y up:
ifconfig down ifconfig up iwconfig Es similar al comando ifconfig, pero fue desarrollado para Ias interfaces wireless. Lo utilizamos de Ia siguiente forma: iwconfig: muestra el estado de Ias interfaces activas iwconfig ethO: muestra cmo est configurada Ia placa inalmbrica.
iwconfig athO: muestra informacin de Ia red inalmbrica
(nombre de Ia red, canal, nivel de seal, velocidad, potencia,
cifrado WEP, punto de acceso, etc).
iwconfig athO essid Red_WiH: configura el nombre de la red
Wi-Fi o ESSID, con el nombre que queremos asociarnos.
dhclient
Dynamic Host Client se encarga de iniciar Ia conexin DHCP,
mediante el cliente dhcp-client. Usando el parmetro -r,
liberamos Ia IP actual; se usa de Ia siguiente forma:
dhdient ethO r: libera Ia IP actual
dhcient ethO: renueva Ia IP
netstat
Network Statistics muestra un listado de Ias conexiones activas,
tanto internas (Iocalhost) como externas, los sockets abiertos y las
tablas de enrutamiento. Lo usamos de Ia siguiente forma:
netstat -p: muestra los programas asociados a los sockets abiertos.
netstat -1: muestra los server sockets que estn en modo escucha.
netstat -s: muestra informacin sobre todos los puertos.
host
Sobre un nombre de dominio, el comando host devuelve Ia IP asociada a l, y viceversa. Sobre una direccin IP, nos devuelve el dominio asociado (DNS Iookup). Por ejemplo: host googe.com: muestra Ia IP de Googlehost 8.8.8.8: muestra los DNS pblicos de Google
Seguridad a nivel de kernel
La seguridad en un sistema puede estar basada en el nivel de aplicacin o de kernel; aqu presentaremos este ltimo, analizando sus detalles y Ia forma en que podemos potenciarlo.
Seguridad
En Ia capa donde operan Ias aplicaciones, Linux provee todo tipo de software orientado a que pueda darse mayor seguridad al sistema desde un uso administrativo, configurando sus caractersticas en cuanto a usuarios y contraseas, controles de acceso, sistema de archivos, inicio y parada,
Mejorar Ia seguridad
En el caso de sistemas Linux, s es posible mejorar Ia seguridad en el nivel del kernel, lo cual, por cierto, nos obliga a comprender en mayor profundidad sus distintos aspectos. Para modificar caractersticas dei ncleo, por empezar, deberemos utilizar alguna herramienta que nos permita gestionar todas Ias posibles funcionalidades que se pueden cambiar, y luego, pasar por un proceso de recompilacin de dicho ncleo a partir del cdigo fuente, lo que nos dar como resultado un nuevo ncleo, pero modificado integrando los componentes que nosotros queramos.
Para realizar esta tarea, debemos contar, como dijimos, con el cdigo fuente del ncleo, que obtenemos del sitio oficial
Verificacin de integridad
Es importante establecer un sistema que nos ayude a verificar Ia integridad de los archivos importantes dei sistema; as detectaremos los intentos de modificacin malintencionados de dichos archivos.
sabemos que no existen sistemas completamente invulnerables, razn por Ia cual es necesario tener en cuenta que siempre estaremos expuestos a Ia ejecucin de diversos ataques. Es cierto que podemos contar con algunas medidas altamente efectivas, tales como firewalls, parches o polticas de control, pero aun en su conjunto, estas no son capaces de brindarnos una seguridad total. Ahora bien, Ia ejecucin de ataques a Ia red busca ejecutar
Tripwire
Es una aplicacin para entornos Linux, que funciona monitoreando Ia integridad de aquellos archivos del sistema que son el blanco de ataques. Este sistema de verificacin de integridad es capaz de comparar los archivos en los intervalos que configuremos, aunque debemos tener en cuenta que, cuanto ms reducidos sean estos intervalos, ms recursos del sistema se utilizarn.
AFICK
Afick (http://afick.sourceforge.net) es una aplicacin que se encarga de supervisar los cambios que se produzcan en el sistema de archivos del equipo, de forma de mantenernos alertados sobre cualquier modificacin, lo que podra significar Ia presencia de una intrusin. Entre Ias principales caractersticas de AFICK encontramos Ias siguientes: Se trata de una aplicacin porttil y multiplataforma, por lo que podremos utilizarla en diversos sistemas operativos, tales como Microsoft Windows o GNU/Linux. EI proceso de instalacin de esta herramienta es sencilla, y su inicio y ejecucin, bastante rpidos. Nos permite acceder a los datos relacionados con los archivos que han sido creados, eliminados o cambiados.
Proteccin ante rootkits
En estas pginas veremos qu son, cmo funcionan, cmo detectarlos, y de qu forma eliminamos los rootkits de sistemas UNIX, Windows, y ms. Aprenderemos Ias mejores prcticas para mantenernos protegidos.
en rootkit es un tipo de maiware, es decir, un programa malicioso que se ejecuta sin ser percibido por el usuario o administrador del sistema. Si bien en general se utiliza en servidores, puede afectar cualquier tipo de dispositivo, como computadoras de escritorio, tablets o telfonos.
LA MEJOR FORMA DE
DETECTAR ROOTKITS
ES BOOTEANDO CON
UN LIVE DVD, AS
NO UTILIZAMOS LOS
UTILITARIOS DEL
SISTEMA INFECTADO.
Su nombre proviene de los trminosroot (nombre del usuario privilegiado en Linux/UNIX) y kit(ya que suelen incluir varias herramientas). En un principio se asociaban solo a sistemas operativos del tipo UNIX, pero tambin han incursionado en equipos Windows, Mac OSX, routers Cisco, controladores PLC el incluso en Android, iOS y Symbian.
chkrootkit es una herramienta de origen brasileo que permite detectar rootkits instalados en sistemas UNIX! Linux. Consiste en un shell script que se encarga de utilizar herramientas del sistema para detectar Ias modificaciones realizadas por un rootkit. Puede utilizarse desde un Live CD, que resulta o ms conveniente, ya que de esta manera no utiliza componentes del sistema operativo que puedan estaralterados por maiware.
El malware enlos sistemas Linux
Revisaremos Ia historia y actualidad dei maiware en los sistemas GNU/Linux, y veremos qu aspectos tener en cuenta y cmo proteger nuestra red de Ias infecciones provocadas por maiware.
Realmente, es difcil crear malware transportable para equipos GNU/Linux que pueda infectar muchos equipos al mismo tiempo. Por ejemplo, Apple afirma que su sistema MAC OSX (basado en BSD) no va a quitarnos tiempo con constantes alertas y preguntas de seguridad. Esto es as porque cada Mac viene de fbrica con una configuracin segura, de modo que no debemos preocuparnos por entender Ias complejas configuraciones. Algo similar sucede en el mundo Linux: sabemos que el maiware en estos sistemas no es tan comn como en Windows. Algunos de los factores que influyen para que esto sea as son los que analizamos a continuacin
Maiware en GNUIL1nux
Como sabemos, es ms difcil crear maiware para UNIX/Linux, pero aun as, existe, y debemos estar atentos y llevar a cabo algunas acciones para protegernos. EI primer gusano para este sistema fue denominado gusano de Morris, en referencia a su creador Robert Morris. Se propag explotando una vulnerabilidad presente en Sendmail (MIA) en el ao 1988. Ms recientemente, durante los aos 2009 y 2010 se detect maiware para GNU/Linux conocido como
Lin ux/PsyBot.A. Este era capaz de infectar mdems y routers ADSL que utilizaban este sistema operativo y convertirlos en parte del botnet psybOt. Llevaba a cabo ataques DD0S (Distributed Denial Of Service). Tambin se detectaron troyanos escondidos, por ejemplo, bajo falsos protectores de pantalla, o versiones troyano de software como Unreal IRC y Pr0FTPD, este ltimo estuvo activo durante ms de seis meses. Uno de los ltimos malware detectados para Linux puede automticamente infectar sitios web de un servidor para atacar a los navegantes con drive-by-download (software malicioso que confunde o engaa al usuario para ser instalado e infectar su sistema).Acta como un rootkit, ocultndose de los administradores. Los navegadores web que accedan a Ias pginas hosteadas en el servidor infectado sern direccionados a un iframe oculto que descargar malware en Ia computadora cliente. Este malware en particular posee una gran sofisticacin, porque se ejecuta a nivel del kernel. Por ejemplo, puede infectar servidores en Ia intranet de una empresa para, luego, infectar a los usuarios internos.
Maiware multiplataforma
El maiware multiplataforma consiste en un mismo programa que puede ejecutarse e infectar diversos sistemas operativos. Uno de los casos ms relevantes fue el troyano Koobface, que luego de estar activo durante ms de dos aos con versiones para Windows, en octubre de 2010 lanz una primera variante que afectaba tambin sistemas Linux y Mac usando un applet de Java. Este malware identifica Ia versin dei sistema operativo y ejecuta ia amenaza segn Ia plataforma donde reside. El malware que aprovecha el desbordamiento de pila (buffer) se encuentra cada vez ms limitado, porque Ias versiones actuales de kernel para sistemas GNU/Linux protegen el espacio de memoria y de esta forma evitan que los programas puedan infringir el segmento asignado para su ejecucin.
Seguridad en entornos de red Linux
analizaremos las configuraciones que hacen a Ia seguridad de Linux, sus componentes ms importantes y los valores recomendados.
la correcta instalacin y configuracin de un sistema desde el inicio es fundamental para tener una red segura. La primera buena prctica que debemos tener en cuenta es realizar Ia instaladn bsica o mnima que ofrece el instalador Linux. Es decir, no instalar todos los componentes pensando que en algn momento pueden llegar a ser tiles, sino instalar solo lo necesario. Otra buena idea es conseguir Ias versiones hardenizadas (ms seguras) de Ia distribucin que vamos a usar. Por ejemplo, Gentoo cuentacon una versin Gentoo hardened, que puede descargarse directamente. RedHat y SuSe, por su parte, ofrecen una gua de hardening que debe aplicarse luego de Ia instalacin. El CIS (The Center for Internet Securitp) es un organismo que desarrolla guas para establecer configuraciones seguras en gran cantidad de sistemas operativos, incluidas muchas distribuciones Linux.
SELinux
Una extensin para Linux muy reconocida en el ambiente de Ia seguridad es SELinux (Security Enhanced Linux). Protege el modelo de seguridad tan expuesto para los administradores que posee Linux y brinda una mayor granularidad en los controles de acceso. Por ejemplo, en vez de solo otorgar privilegios de lectura, escritura y ejecucin sobre un archivo, permite asignar permisos para anexar, mover un archivo y realizar otras operaciones de manera individual.
Recomendaciones
En referencia al sistema de archivos, se recomienda montar Ias particiones de S.O. y los datos usando el sistema exte, que ofrece mayor integridad que las versiones anteriores, gracias a Ia funcionalidad journaling. Adems, se recomienda impedir el uso de programas o shell con permisos de suid y sqid, con Ia excepcin de los programas predefinidos dei sistema u otros requeridos por Ias aplicaciones especficas, ya que estas funcionalidades permiten que un ejecutable sea invocado con los permisos dei owner.
Acceso remoto
En cuanto a los parmetros de acceso remoto y configuraciones de red, consideraremos los siguientes aspectos: Deshabilitar IP-forwarding a fin de impedir ei ruteo de paquetes IP entre Ias placas de red dei servidor. Para esto, ejecutar el comando: it /bin/echo bOU / proc/sys/net/ipv4/ip_forward. Descartar paquetes ping (mensajes ICMP tipo O), porque podran brindar informacin que un atacante fuera capaz de aprovechar.
Equipos y usuarios
El archivo /etc/hosts.equiv permite definir equipos y/o usuarios sobre los cuales se tendr confianza, implicando que un usuario pueda iniciar sesin o acceder a recursos en forma remota sin necesidad de brindar una contrasea. Este archivo no debera poseer las entradas del tipo , ya que permite el acceso desde cualquier host al sistema. La instalacin inicial del sistema debera encontrarse libre de servicios de red. Estos deberan se activados de forma posterior segn la necesidad. El servicio de SSH se configura
ListenAddiess: limita Ias escuchas del protocolo en Ia direccin definida. PermitRootLogin: indica si se permite el ingreso remoto del usuario root. PermitEmptyPasswords: determina si impide el acceso de usuarios habilitados sin contrasea asignada. AltowGroups sshusers: limita el uso del servicio ssh al grupo sshusers.
Por ltimo, debemos mantener el kernel del sistema y las aplicaciones actualizados. Para esto, recurrimos al comando # yum update o # apt-get update && apt-get upgrade..