Professional Documents
Culture Documents
Hardening en Linux
Hardening en Linux
Ricardo Lozano Coln
linux@software.com.pl
La seguridad ha sido un tema que hasta hace unos aos no era muy atendida por los
lideres en tecnologas de la informacin, no porque no fuera importante ms bien porque
la informacin no se comparta como se hace en estos momentos, y todo gracias a
Internet que ha permitido que lo que se hace hoy en alguna comunidad se conozca
maana alrededor del mundo. El Hardening lo debemos entender como la serie de pasos
a seguir para hacer ms robusta nuestra instalacin de Linux, coloquialmente conocido
como Endurecer.
42
Muchas veces y seguro les parecer familiar hemos visto ordenadores en lugares que no cumplen con estas condiciones
y que aunque parezca extrao ofrecen servicios relevantes,
como el proceso de nmina, de contabilidad o planeacin,
las cosas han ido cambiando y ahora que se ha dado la fusin
entre el Negocio y la Tecnologa se han establecido las reglas
que se deben seguir para que por un lado se cumplan los
Seguridad Fsica,
BIOS,
Particionamiento,
Software mnimo necesario,
IP,
Actualizar sistema,
SSH,
Linux+ 12/2008
Cuentas de acceso,
Servicios del Sistema,
Puertos.
Seguridad Fsica
Aire acondicionado,
Piso falso,
Unidad de Energa Ininterrumpida (UPS),
Sistema de Control de Acceso etc.
seguridad
Hardening en Linux
objetivos de la organizacin con el apoyo de la ello tendra que conocer la contrasea o tener extendida si existe). La extendida nos sirve para
tecnologa y por otro se crea en la tecnologa habilitados los medios para intentar hacer uso albergar ms particiones, llamadas lgicas con lo
como optimizacin de procesos de negocios.
del mismo.
que logramos tener ms de 4 particiones en total.
Las Particiones lgicas siempre sern albergadas
BIOS
Particionamiento
dentro de una extendida. Particionamiento para
Es importante adems de actualizar el BIOS Definir un adecuado particionamiento de nuestro servidores en produccin se recomienda tener al
de nuestro ordenador protegerlo contra mo- disco duro quitara a los administradores muchos menos y separados:
dificaciones a su configuracin, para ello se dolores de cabeza, si es la primera vez que insrecomienda:
talas Linux y con fines prcticos se recomienda / raz
usar el particionamiento automtico, en este caso /boot
Establecer una contrasea,
Linux realiza dicha tarea por nosotros, con todas /home
Quitar arranque por CD,
las implicaciones que ello pueda traer, sin embar- /usr
Quitar arranque por USB,
go si lo que queremos es tener mejor organizada /var
Quitar arranque por Discket.
nuestra informacin y el acceso a ella se reco- /tmp
mienda hacer un particionamiento personalizado swap
Estas simples medidas nos permitirn asegurar considerando los siguientes puntos. Lo que deque en caso de que alguien tuviera acceso f- beramos saber. Un disco duro puede tener hasta Algo que no debemos dejar a un lado y que desico al ordenador no podr entrar ya que para cuatro particiones principales (incluyendo la pendera mucho el rendimiento de nuestro ordenador es el espacio asignado a nuestra memoria
Listado 1. Inventariando y Eliminando Software
SWAP, existe an el mito que la SWAP debe ser
el doble de nuestra memoria fsica -RAM-, ojo
[root@host ~]# rpm -qa | more
esto solo aplica o aplicaba para ordenadores de
cpio-2.6-20
124,256 o incluso para 512 Megas en RAM, en
time-1.7-27.2.2
la actualidad con los ordenadores que existen
redhat-logos-4.9.99-8.el5.centos
esta regla desaparece, por lo que de ninguna
libXext-1.0.1-2.1
manera deberemos superar los 2GB en la melibXcursor-1.1.7-1.1
moria SWAP:
libXinerama-1.0.1-2.1
cracklib-dicts-2.8.9-3.3
aspell-es-0.50-13.2.2
ftp-0.17-33.fc6
Supongamos que queremos desinstalar FTP : -ejecutamos[user@host ~]# rpm -e ftp-0.17-33.fc6
www.lpmagazine.org
43
seguridad
Hardening en Linux
Adems considera que en alguna de estas particiones se guardaran los respaldos, por lo que
se le deber asignar ms espacio en DD (Disco
Duro), adems de una particin para los datos
o las aplicaciones (/opt), antes de tomar la
decisin es recomendable tener claro para que
servir cada una de ellas. OJO:
Seguir las buenas prcticas y recomendaciones te puede salvar de muchas tareas administrativas o de tener ordenadores parchados.
Actualizar Sistema
IP
44
Linux+ 12/2008
Club Pro
DESARROLLADORES.ES
www.desarrolladores.es
Desarrollo de Portales de Gestin Avanza
dos, Extranets, Intranets, Aplicaciones M2M
y Aplicaciones GIS. Uso de tecnologas con
licencias GNU/GPL. Experiencia en proyectos de Administracin Pblica. Especializados en plataformas de gestin usando
TOMCAT, JSP, JAVA, POSTGRESQL y JASPER REPORTS.
Listado 5. Puertos
Una herramienta que nos puede servir bastante para este caso es sin duda
NMAP la cual nos sirve para escanear puertos, hacer sniffing y monitorear
nuestro sistema.
[user@host ~]$ nmap -sT localhost (para puertos TCP)
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-09-30 14:38
CDT
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 1672 closed ports
PORT STATE SERVICE
www.evosistemas.com/
Desarrollo de software, aplicaciones
basadas en web, integracin, mantenimiento, administracin y migracin de
sistemas de software libre, consultora
TIC, sistemas VoIP.
central@evosistemas.com
www.lpmagazine.org
Zitralia
info@zitralia.com
Zitralia es una compaa espaola de
I+D+i pionera en el desarrollo de sistemas de seguridad avanzada en entornos
distribuidos y sistemas de acceso remoto.
El objetivo fundamental de la compaa se
centra en mitigar el acceso ilegtimo y el
robo de datos, mediante tecnologas punteras de proteccin de la informacin.
seguridad
Hardening en Linux
Colocar un Banner de Bienvenida/Adve- por lo que casi es un hecho que los servicios que
rtencia
tengamos activos correspondern al software
instalado, por lo que es importante asegurar que
[user@host ~]$ cd /etc/ssh/
dichas herramientas inician y estn en el nivel de
[user@host ~]$ touch banner
arranque correcto del sistema operativo:
Nota: El mensaje debe contener un aviso en el
que se alerta a los usuarios sobre que el sistema
que estn accesando es privado y que por tal
motivo todo el tiempo que dure la conexin
ser monitoreada, registrada y en su caso investigada.
Puertos
ip6tables on
tart
46
Linux+ 12/2008
Conclusiones
Como vemos asegurar un servidor Linux implica considerar muchas variables, sin embargo
puede no ser tan tormentoso si llevamos consigo un orden de ideas, si seguimos ciertas buenas prcticas que nos ayuden a cumplir con el
cometido asegurar linux, esto es lo mnimo que
deberamos cumplir ya que una vez cumplido
esto podramos y sugerimos aplicar las misma
idea a ciertos servicios como apache, base de
datos, servidor de aplicaciones etc. Un segundo
nivel en este tema sera el manejo de:
Iptables,
Permisos especficos a archivos de datos,
Hardening sobre servicios,
Hardening sobre el Kernel etc.
Nota
Todos los comandos mostrados en este documento fueron probados en Linux Centos 5.2,
lo que quiere decir que funcionan en toda la
familia RedHat.
Sobre el autor
Ricardo Lozano Coln gusta del Software
Libre y de todo lo que refiera a la aplicacin
de estndares y buenas prcticas en las
Tecnologas de la Informacin (TI), actualmente aparte de Laborar en el Instituto Federal Electoral participa en proyectos para
Universidad de Negocios ISEC usando
Software Libre.