¡Hola, este soy yo!

ONeZetty

PIVX Ambassador Caballero Jedi Fanático de Linux Promotor del Software Libre Fundador de Bitcuners Entusiasta de las Criptomonedas Amante de las Galletas y Deslactosado...

7 de mayo de 2015

Sugerencias de seguridad en sistemas GNU/Linux

  • jueves, mayo 07, 2015
  • by

Bueno, este post lo venía preparando para mi blog desde hace algún tiempo que me lo sugirieron en DesdeLinux, y por falta de tiempo no había podido, o de ganas. Si soy algo vago :D. Pero ahora les va en strike, como decimos en Cuba…

Esto es una recopilación de normas de seguridad básicas para los administradores de sistemas, en este caso, para los que como yo administramos redes/sistemas basados en GNU/Linux… Pueden haber más y de hecho hay más, esto solo es una muestra de mis andanzas por el mundo linuxero…

0- Mantener actualizados nuestros sistemas con los últimos updates de seguridad.

0.1- Listas de correo de actualizaciones críticas [Slackware Security Advisor, Debian Security Advisor, en mi caso]

1- Cero acceso físico a los servers por parte de personal no autorizado.

1.1- Aplicar password al BIOS de nuestros servers

1.2- No boot por CD/DVD

1.3- Password en el GRUB/Lilo

2- Buena política de passwords, caracteres alfanuméricos y otros.

2.1- Envejecimiento de los passwords[Password Aging] con el comando “chage”, así como número de días entre cambio de password y última fecha de cambio.

2.2- Evitar el uso de password anteriores:

en /etc/pam.d/common-password

password sufficient pam_unix.so use_auth ok md5 shadow remember 10

Así cambias el password y te recuerda los ultimos 10 passwords que tenía el usuario.

3- Buena política de gestión/segmentación de nuestra red[routers, switches, vlans] y firewall, así como reglas de filtrado INPUT, OUTPUT, FORWARD[NAT, SNAT,DNAT]

4- Habilitar el uso de shells[/etc/shells]. Los usuarios que no deban loguearse en el sistema les toca /bin/false o /bin/nologin.

5- Bloquear usuarios cuando el login falla[faillog], así como controlar la cuenta de usuario del sistema.

passwd -l pepe -> bloquear al usuario pepe
passwd -v pepe ->  desbloquear al usuario pepe

6- Habilitar el uso de “sudo”, NUNCA loguearnos como root por ssh, “NUNCA”. De hecho se debe editar la configuración de ssh para lograr este propósito. Use llaves públicas/privadas en sus servers con sudo.

7- Aplicar en nustros sistemas el “Principio del privilegio mínimo“.

8- Chequear nuestros servicios cada cierto tiempo[netstat -lptun], para cada uno de nuestros servers. Agregar herramientas de monitoreo que nos puedan ayudar en esta tarea[Nagios, Cacti, Munin, Monit, Ntop, Zabbix].

9- Instalar IDSs, Snort/AcidBase, Snotby, Barnyard, OSSEC.

10- Nmap es tu amigo, úsalo para verificar tu subred/subredes.

11- Buenas prácticas de seguridad en OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP[los que la mayoría usa] y algún que otro servicio que necesites en tu red.

12- Encriptar toda comunicación mientras sea posible en nuestros sistemas, SSL, gnuTLS, StarTTLS, digest, etc… Y si manejas información sensible, encripta tu disco duro!!!

13- Actualizar nuestros servidores de correo con las últimas reglas de seguridad, listas negras y antispam.

14- Logueo de actividad en nuestros sistemas con logwatch y logcheck.

15- Conocimiento y uso de herramientas como top, sar, vmstat, free, entre otras.

sar -> system activity report
vmstat -> procesos, memoria, systema, i/o, actividad del cpu, etc
iostat -> cpu i/o status
mpstat -> multiprocessor status and usage
pmap -> uso de memoria por los procesos
free -> memoria
iptraf ->  tráfico en tiempo real de nuestra red
ethstatus -> console-based ethernet statistics monitor
etherape -> graphical network monitor
ss -> socket status[tcp socket info, udp, raw sockets, DCCP Sockets]
tcpdump -> Análisis detallados de tráfico
vnstat -> network traffic monitor of selected interfaces
mtr -> herramienta de diagnóstico y análisis de sobrecarga en las redes
ethtool -> stats about network cards

Por ahora es todo. Sé que existen mil y una sugerencias de seguridad más en este tipo de entorno, pero, estas son las que más me han chocado de cerca, o que en algún momento he tenido que aplicar/ejercer en algún ambiente de los que he administrado.

Un abrazo y que ojalá les sirva :D


Fuente: Desde Linux

Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna Veniam, quis nostrud exerci tation ullamcorper suscipit lobortis nisl ut aliquip ex ea commodo consequat.

Publicar un comentario
ONeZetty
https://t.me/ONeZetty
Cancún, México

Envíame un mensaje

--