Los permisos de archivo
Asegúrese de que los archivos de sistema no están abiertos por edición de casual de usuarios y grupos que no tienen los permisos adecuados. Los sistemas operativos Linux distinguen el control de acceso basados en tres características: propietario, grupo y otros. El acceso a un archivo será determinado por los bits de permiso y esos bits son "rwx" - donde 'r' identifica, 'leer' (read), 'w' identifica 'escribir' (write) y 'x' identifica 'ejecutar' (execute). Se puede establecer o restablecer esos tres bits de permiso basados en el tipo de acceso que estamos interesados en darle a un usuario. Esto se considera, un nivel básico, una manera de impedir el acceso a un archivo desde fuentes no autorizadas.
Comprobación de integridad
Hay un mecanismo muy bueno para detectar ataques locales en el sistema. Esto se conoce como "verificación de la integridad". Tripwire, Aide y Osiris son algunos de los más populares inspectores de integridad. Estas fichas de integridad ejecutarán una serie de sumas de control en todos los binarios importantes y archivos de configuración y los compararán contra una base de los antiguos datos, teniendo los valores conocidos como referencia. Así, cualquier cambio en los archivos puede ser fácilmente detectado. Con base en estas señales, un administrador del sistema puede hacer los cambios apropiados para que la integridad de los archivos importantes se mantenga.
Seguridad de contraseñas
La mayoría de las distribuciones de Linux vienen con 'passwd' programas que no le permiten establecer una contraseña fácil de adivinar. Por lo tanto, es necesario asegurarse de que su programa passwd está actualizado. Linux usa un algoritmo de cifrado de forma conocida como DES (Data Encryption Standard), que se utiliza para cifrar las contraseñas. La contraseña cifrada se almacena en /etc/passwd. Cuando intenta iniciar sesión, la contraseña que escribimos se encripta de nuevo y se compara con la entrada del archivo que almacena la contraseña. Una coincidencia significa que hemos ingresado la misma contraseña y hemos dado acceso al sistema.
Las contraseñas shadow son un medio de mantener la información de nuestra contraseña cifrada en secreto de los usuarios normales. Las versiones recientes de Red Hat y Debian Linux utilizan contraseñas shadow de forma predeterminada. Las contraseñas shadow se guardan en /etc/shadow y sólo puede ser leído por usuarios privilegiados.
Seguridad del kernel
A medida que el Kernel controla las redes de su equipo, es esencial mantenerlo seguro. Veamos algunas opciones populares de configuración del kernel que se refieren a la seguridad.
El reenvío de IP: Si se habilita el reenvío de IP, su máquina Linux se convierte en un router. Puede activar o desactivar el reenvío IP mediante el uso de estos comandos:
Como root:
echo 1 > /proc/sys/net/ipv4/ip_forward* para activar *
Como root:
echo 0 > /proc/sys/net/ipv4/ip_forward* para desactivar *
Cortafuegos IP: Esta opción es muy útil si desea proteger su dial-up de estación de trabajo de alguien que entra a través de su interfaz dial-up PPP.
Paquetes loggin del Firewall del IP: Esta opción muestra la información acerca de los paquetes que su cortafuegos recibe.
Otras implementaciones de seguridad
Lo que hay que considerar aquí es la implementación de IPSEC para Linux. IPSEC es un mecanismo para crear algoritmos criptográficos de comunicaciones seguras a nivel de red IP. La idea principal es proporcionarle autenticación, integridad, control de acceso y confidencialidad a su información.
Directrices de seguridad
En cuanto a todo lo que concerniente a la escritura de código de buena calidad, la seguridad necesariamente debe encontrarse en la parte superior. Los problemas de seguridad pueden provenir de personas que tratan activamente de penetrar su seguridad o de cuestiones simples, tales como a alguien suministrando insumos inesperados a un programa o la ejecución incorrecta de algunos comandos. Demasiado acceso a los sistemas puede significar que los usuarios - incluso con el acceso legítimo - pueden causar problemas, ya sea accidentalmente o de forma intencionada.
Las mejores prácticas de seguridad
Digamos que hemos probado nuestro sistema y nos dimos cuenta que es más seguro. Y así está listo para ir en línea.
Es importante seguir las siguientes pautas para que podamos minimizar el impacto si un intruso intenta atacar el sistema:
• Asegúrese de que su sistema tiene un back up (una copia de seguridad).
• Escoja un buen horario para los respaldos.
• Asegúrese de probar las copias de seguridad para comprobar que esté trabajando como se espera.
• Aplicar todas las actualizaciones del nuevo sistema rápidamente para que todo esté al día.
• Seguir los datos del sistema de contabilidad. Asegúrese de que los archivos en /var/log tienen acceso de lectura y escritura sólo para un número limitado de usuarios.
¿Por qué debemos usar los registros de sucesos de seguridad (security event logs)?
Esperamos que pueda mantener sus computadoras parcheadas y actualizadas y que su red sea segura. Sin embargo,es inevitable que en algún momento ha de ser golpeado por la actividad maliciosa de: un virus, gusano, troyano, el ataque de un hack o de alguna otra manera. Cuando eso sucede, si hemos hecho las cosas bien antes del ataque, esto hará que la tarea de determinar cuándo y cómo sucedió el ataque sea mucho más fácil.
Algunos sistemas tienen auditorías de diversas funciones de registro nativas. También puede instalar software adicional para el seguimiento y registro de varias acciones en la computadora. Si es posible utilizar un disco duro dedicado y/o controlador de disco duro, tendrá un menor impacto en el rendimiento, ya que los archivos de registro pueden escribirse en el disco sin tener que luchar con las aplicaciones que estaríamos tratando de correr para el acceso a la unidad . Si usted puede dirigir los archivos de registro a un equipo independiente - posiblemente dedicada a almacenar los archivos de registro y con la configuración de seguridad completamente diferente - podríamos ser capaces de bloquear la capacidad de un intruso para alterar o eliminar los archivos de registro también.
Una nota final es que no debemos esperar hasta que sea demasiado tarde, y que su sistema ya haya sido bloqueado o esté comprometido, antes de ver los registros. Lo mejor es revisar periódicamente los registros de modo que podamos saber lo que es normal y establecer una línea de base. De esta forma, cuando lleguen entradas erróneas, podremos reconocerlas como tales y tomar medidas preventivas para endurecer nuestro sistema en lugar de hacer la investigación forense después de que sea demasiado tarde.
Fuentes: 1 y 2
____________
......
No olvides comentar esa es la mejor forma de incentivar el trabajo (y si puedes pasa el link del blog)...
0 comentarios:
Publicar un comentario