Diario informal de K-nábora

Blindaje de nuestro sistema(Parte II) 

En el artículo pasado,Blindaje de nuestro sistema(Parte I), vimos como blindar nuestro sistema utilizando Bastille, en el artículo de esta semana vamos a ver otros métodos que podemos utilizar para blindar nuestros sistemas.

Recordemos que blindar un sistema es el proceso que consiste en hacer más seguro nuestro sistema corrigiendo las opciones permisivas que traiga activadas de forma predeterminada el sisitema operativo, siguiendo con los programas que nos ayudarán a blindar nuestros sistemas, en esta ocasión veremos Harden Suse y OpenWall.

Harden Suse ha sido desarrollado por Marc Heuse es un programa que blinda los sistemas Suse, entre las medidas que toma Harden Suse destacan:

• Desactiva todos los servicios de la red, excepto unos poco como son SSH y VPN.
• Comenta todos los servicios que se incluyen en el fichero /etc/inetd.conf y tcpwrapper se configura para permitir únicamente conexiones desde el sistema local.
• Registra todos los intentos de conexión, mostrando por pantalla las últimas conexiones y los intentdos fallidos.
• Configurar todo lo necesario para que el usuario root sólo pueda conectarse desde la consola local.
• Segura las contraseñas obligando a que se utilicen contraseñas largas y poniéndoles una validez máxima de 40 días y avisando en caso de utilizar contraseñas débiles.
• Protege los ficheros de los usuarios, estableciendo el valor de umask a 077 y aumentando las restricciones de /home
• Configura SSH de forma segura.
• Busca y elimina los programas suid desconocidos.

Además Harden Suse crea un script para deshacer todo el proceso de blindaje que se puede encontrar en /etc/undo_harden_suse y genera un fichero de registro que contiene toda la información sobre los cambios realizados en /etc/harden_suse.log

Otro de los programas que existen para blindar el sistema es el proyecto OpenWall, que es un parche de seguridad para el núcleo desarrollado por Solar Designer que mejora varias características relacionadas con la seguridad y que corrige algunos errores, para aplicar este parche es necesario recompilar e instalar el nuevo núcleo para que funcionen las nuevas funciones.

Entre las mejoras se incluyen:

• Protege las pilas de desbordamientos de búfer, este parche evita que la mayoría de los desbordamiento de búfer puedan ejecutar código malicioso haciendo que el área de la pila no sea ejecutable.
• Este parche previene que se realicen cierto tipos de enlaces en el directorio /tmp, sobre el cual se suele establecer enlaces maliciosos.
• El parche también deniega la creación de un fichero cuando existe un FIFO(named pipe) con el mismo nombre, ya que un atacante un FIFO en /tmp para interceptar datos que normalmente deberían ir a un fichero temporal.
• También cambia los permisos sobre /proc para que los usuarios no puedan ver información sobre los procesos ejecutados por otros usuarios, a no ser que esten en un grupo especial.
• El parche también asegura los descriptores de ficheros 0,1,2, reservados normalmente para stdin,stdout y stderr, respectivamente. Lo que hace es asegurar que que cualquier programa sid/sgid que se arranque tenga esos ficheros apuntado a /dev/null en caso de que no estén definidos.

El único problema de este parche es que no son cien por cien compatibles con el Linux estándar, por lo que debes estar seguro de entender todas las implicaciones antes de decidir utilizar este parche, hay que ser un poco valiente.

La semana que viene seguiremos con los programas que podemos utilizar para hacer nuestros sistemas más seguros y más fiables.

Publicado: websecurity.es