Cómo dotar de más de seguridad a un sistema GNU/Linux
Enviado por K-nábora Bufete Tecnológico en seguridad, linux
Blindaje de nuestro sistema(Parte I)
En un mundo perfecto, todos los sistemas operativos que se vendieran serían totalmente seguros, pero lo que ocurre en la realidad es que los distribuidores de software colocan una balanza las características que se desean, entre las que suelen estar el rendimiento, la facilidad de uso y la seguridad, siendo esta ultima la de menor peso de la lista.
Un sistema puede tener de forma predeterminada multitud de servicios abiertos, aunque en realidad no se utilicen para nada, por ejemplo un programa suid de root que permiten a un usuario normal controlar de forma sencilla el sistema o bien unos permisos sobre algún fichero que se han establecido de forma poco rigurosa. O también puede que el sistema contenga contraseñas predeterminadas conocidas por todos, o contraseñas que aparecen en la propia documentación.
Blindar un sistema es el proceso que consiste en hacer más seguro nuestro sistema corrigiendo las opciones permisivas que traiga activadas de forma predeterminada el sistema operativo, es esta serie de artículos veremos unos cuantos programa que nos ayudarán a blindar nuestros sistemas, incluyendo parches para el núcleo que pueden mejorar enormemente la seguridad de nuestro sistema.
El primer programa que veremos para blindar nuestro sistema es el Bastille, que originalmente fue un intento de crear una distribución de Linux nueva y segura, pero resultó ser más duradero y difícil de lo que los programadores esperaban, y cambiaron la idea y se centraron entonces en el desarrollo de un conjunto de módulos que blindarían una distribución Linux recien instalada.
El segundo paso en la evolución de Bastille nos permite ejecutarlo en cualquier momento, no sólo inmediatamente después de instalar el sistema, aunque según afirman supuso un enorme trabajo volver a escribir el programa para que permita proteger sistemas no virgenes, pero desde mi punto de vista a merecido la pena, ya que esta herramienta es muy útil.
Bastille esta disponible o bien por paquetes RPM ya preparados o partiendo del código fuente, y esta totalmente configurable mediante un menu de texto, para los nostalgicos de la consola, o bien por una interfaz basada en Tk. Una vez tenemos instalada la aplicación simplemente tenemos que ejecutar:
#root InteractiveBastille
Y estaremos preparados para iniciar la configuración, donde podemos ver que cada menú de Bastille describe una sistuación que se considera insegura o sospechosa, y nos pregunta si deseamos blindarla, y en más o menos 10 minutos,que es el tiempo que se tarda en responder a las preguntas, Bastille comenzará a blindar nuestro sistema realizando todos los cambios que le hayamos indicado.
La aplicación guarda en el fichero BackEnd.pl la configuración que hemos introducido, y si deseamos blindar algún otro servidor más con la misma configuración, sólo tendremos que copiar ese fichero al nuevo servidor, y ejecutar
#root AutomatedBastille
Con lo que se aplicará la configuración al nuevo servidor, y estará igual de blindado que el anterior.
Como veis, la ejecución de Bastille es un proceso sencillo y rápido, y se debería ejecutar en todo sistema que tenga que ser seguro.
Publicado: websecurity.es
RSS Comentarios