Diario informal de K-nábora

Blindaje de nuestro sistema(Parte III)

En el artículo pasado, Blindaje de nuestro sistema(Parte II), vimos como blindar nuestro sistema utilizando Harden Suse y OpenWall, en el artículo de esta semana vamos a continuar viendo otros métodos que podemos utilizar para blindar nuestros sistemas.

Recordemos que blindar un sistema es el proceso que consiste en hacer más seguro nuestro sistema corrigiendo las opciones permisivas que traiga activadas de forma predeterminada el sisitema operativo, siguiendo con los programas que nos ayudarán a blindar nuestros sistemas, en esta ocasión veremos LIDS y GrSecurity.

LIDS(Linux Intrusion Detection System), es un sistema de detección de intrusos de Linux que incluye un sistema de detección de escaneados de puertos y de alertas de seguridad en el propio núcleo.

Sin embargo la caracterísitica verdaderamente potente de LIDS es que amplía en modelo de seguridad de Linux, es decir, se distribuye como un parche para el núcleo con lo que no se pierde la seguridad que aporta el núcleo por defecto.

Entre las características de LIDS destacan:

• Los ficheros protegidos por LIDS pueden ocultarse, protegerse contra cambios, incluso por los realizados por el usuario root.
• Se pueden utilizar de forma más eficiente las capacidades para garantizar ciertos privilegios, como puede ser no permitir a root modificar ciertas capacidades.
• El núcleo puede rechazar el envio de señales a procesos protegidos como SIGKILL. Además, también permite ocultar los procesos de forma que no existirá ninguna entrada correspondiente a ese proceso en el sistema de ficheros /proc.
• Tiene detección de escaneado de puertos integrado en el núcleo, con lo que puede detectar cualquier tipo de los escaneados que se pueden realizar hoy en día, informando de los intentos de violación del sistema mediante syslog o mendiante correo electrónico según se desee.

A la hora de instalar LIDS tienes que descargar la última versión del núcleo de Linux y el código fuente de LIDS, y luego aplicar los parches al núcleo con el código de LIDS descargado, recompilar el núcleo, instalarlo y reiniciar la máquina.

LIDS va a proteger el núcleo contra cualquier modificación mientrás este funcionando, a menos que seamos root y que nos autentifiquemos con el programa lidsadm, con el que podremos realizar cualquier cambio que queramos y se guardará en el fichero de configuración, que se encuentra en /etc/lids

Uno de los aspectos a tener en cuenta cuando se instala LIDS es configurar la aplicación para permitir que active restricciones muy severas en la mayoría de ficheros. Se deberían proteger todos los binarios, los ficheros de registro y los ficheros de configuración. Además LIDS permite establecer cuatro tipos distintos de control de acceso:

• Permite la opción de denegar, haciendo que los ficheros marcados como DENY no pueda acceder ningún usuario o programa, a menos que se permita explicitamente.
• Los fichero de sólo lectura(READ) no podrán ser modificados por nadie, ni siquiera por el root.
• Los ficheros de sólo actualización(APPEND) podrán ser únicamente abiertos para actualizarlos, pero no podrán ser modificados, es decir, este tipo de acceso se utiliza habitualemente para los ficheros de registro, a los que sólo se les permite crecer, impidiendo que un atacante pueda borrar líneas que darían pistas sobre sus actuación.
• Esta opción dará permisos de escritura en el fichero a los usuarios o programas que se especifiquen.

Utilizar LIDS es una forma muy efectiva de blindar nuestra máquina contra las debilidades de las instalaciones perdeterminadas, sin embargo no es una herramienta que puedan utilizar los temerosos, os recomiéndo que consultéis la documentación, así como el LIDS-HOWTO antes de intentar utilizarlo.

Otro de los programas que existen para blindar el sistema es Grsecurity, que es un conjunto de parches de seguridad para el núcleo, cuyo objetivo final es crear uns sistema seguro sencillo de configurar.

Entre las principales características incluye las funcionalidades del parche OpenWall, restricciones sobre ficheros y capacidades similares a las que presenta LIDS, moejoras de los procesos de registro y auditorias y varias herramientas adicionales, entre las que destaca Trusted Path Execution.

Con el artículo de esta semana hemos visto dos nuevas programas que podemos utilizar para hacer nuestros sistemas más seguros y más fiables, la semana siguiente seguiremos viendo más programas para blindar nuestros sistemas.

Publicado: websecurity.es