GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

CONTENIDO
PROCEDIMIENTOS DE ASEGURAMIENTO
1. Backup de la configuracin
2. Seguridad al encender o reiniciar el servidor
3. Seguridad del Sistema Operativo
4. Administracin de contraseas
5. Integridad de archivos
6. Seguridad en comunicaciones
7. Configuracin de los servicios de red
8. Configuracin del FINGER
9. Configuracin del TFTP
10. Configuracin del VS FTP
11. Open SSH
12. Exposicin de la informacin
13. Manejo de logs y registros

CDIGO

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

1/22

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

14. Cuotas de disco

CDIGO

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

2/22

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

NOMBRE DEL SERVIDOR

SGD28

DIRECCIN IP INTERNA

172.16.8.1

DIRECCION IP PUBLICA (Si Aplica)

n/a

CDIGO

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

3/22

FECHA DEL ASEGURAMIENTO:__29-06-2010___

HORA INICIO:______17:58__________
HORA FIN:________18:58___________

DIRECCION WEB
FUNCIN DEL SERVIDOR

Nodo de Base de Datos (ORACLE)

RESPONSABLE SERVIDOR

Luis Alejandro Vargas

SISTEMA OPERATIVO INSTALADO

Linux Redhat Enterprise 5.4

PARCHES APLICADOS AL SERVIDOR

N/A

APLICACIONES ADICIONALES INSTALADAS

N/A

Procedimientos de Aseguramiento
Tema:
1. Backup del servidor
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente
Se debe realizar un Backup de los
Backup del
archivos a modificar del equipo por
No
No
equipo
parte de los administradores del
mismo.

Procedimiento para su implantacin

Realizar un backup de los archivos a modificar del equipo y
guardarlo en un lugar seguro

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

Tema:
2. Seguridad al encender o reiniciar el servidor
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente

No

NO

Solicitud de
Clave al
iniciar la
mquina

En la BIOS de la mquina es
necesario asignar una clave que sea
solicitada siempre que la mquina se
encienda o reinicie. ya que se podra
usar un Disquete de inicio de
Windows y borrar las particiones ,
se podra intentar hacer lo mismo cn
un CD.

CDIGO

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

4/22

Procedimiento para su implantacin

Al iniciar la mquina, siga las instrucciones del computador
para ingresar a la BIOS
Ubique la opcin de asignacin de contraseas
Cambie la contrasea de inicio de la mquina y la de acceso a
la BIOS.
Nota: No se aplica este control debido a que no se
encontr como entrar a la BIOS del Servidor.
Al iniciar la mquina, siga las instrucciones del computador
para ingresar a la BIOS

No

NO

NO

No

Restringir el
inicio por
Floppy o
cdrom

Deshabilitar
la opcin de
reiniciar la
mquina con
las teclas
ctrl-alt-del

Dado que Linux puede ser reiniciado

con un disco de rescate, o con un
disco de instalacin, es necesario
eliminar
esta
posibilidad
para
prevenir acceso no autorizados como
superusuario

Ubique la opcin que discrimina los dispositivos con que se

puede iniciar la mquina y su orden.
Deje esta opcin en Disco C nicamente (C Only)
Nota: No se aplica este control debido a que no se
encontr como entrar a la BIOS del Servidor.
Editar el archivo /etc/inittab
Comentar la lnea como sigue:

Cualquier usuario puede reiniciar la

mquina
presionando
ctrl-alt-del.
Esto es inconveniente.

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

Reiniciar con el comando init q para reiniciar el demonio.
Nota: Ya estaba aplicado el cambio.

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

Tema:

CDIGO

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

5/22

2. Seguridad al encender o reiniciar el servidor

Editar el archivo /etc/lilo.conf
Aadir las siguientes lineas (antes de la seccin de arranque):

NO

NO

Cualquier usuario puede iniciar la

mquina en modo single utilizando el
Solicitar clave
comando linux single en el prompt
al pasar
de Lilo, para restringir esto a
parmetros a
usuarios de confianza, se debe
Lilo
solicitar una clave que permita
hacerlo.

Restricted
Password=<Digite su clave aqui>
Reiniciar Lilo

/sbin/lilo
Nota: No se aplica este control debido a que el
servidor no tiene instalado lilo.

Para colocar la contrasea al gestor de arranque Grub,

se generar
un hash a partir de una palabra clave:

NO

NO

Cualquier usuario puede iniciar la

mquina en modo single utilizando el
Solicitar clave
comando linux single en el prompt
al pasar
de Grub, para restringir esto a
parmetros
usuarios de confianza, se debe
al Grub
solicitar una clave que permita
hacerlo.

grub-md5-crypt
Password: ***********
Retype Password: ***********
# $1$q19Yf1$fV0t8Dr1rjMtxNytKUXy5/
Luego edite el archivo de configuracin de grub
/boot/grub/menu.lst
y luego del segmento timeout anexar la lnea
password --md5 $1$q19Yf1$fV0t8Dr1rjMtxNytKUXy5

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

Tema:

CDIGO

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

6/22

2. Seguridad al encender o reiniciar el servidor

chmod 700 /etc/lilo.conf

NO

NO

Acceso al
archivo
/etc/lilo.conf

Cuando se haya terminado de

configurar correctamente el lilo,
cambiarle los permisos para que
quede slo accesible por root

chattr +i /etc/lilo.conf
Nota: No se aplica este control debido a que el
servidor no tiene instaldo lilo.

chmod 700 /boot/grub/grub.conf

No

No

Acceso al
archivo
/etc/grub.con
f

Cuando se haya terminado de

configurar correctamente el lilo,
cambiarle los permisos para que
quede slo accesible por root

Tema:
3. Seguridad del Sistema Operativo
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente

SI

Si

SI

SI

chattr +i /boot/grub/grub.conf
Nota: No se aplica este control debido a no se encontr
archivo grub.conf

Procedimiento para su implantacin

find / -type f \( -perm -04000 -o -perm -02000 \) > lista.txt

Ubicacin de
binarios con
permisos de
setuid

Archivos ejecutables que tienen

activado el bit de setuid para tomar
temporalmente permisos de root

Ejecutables
solo
disponibles
para root

Algunos de los programas slo deben

estar disponibles para ejecucin por
parte del root

Una vez obtenida la lista de binarios con setuid, cambiar los

permisos:
Chmod s <binario>
chmod 700 /usr/bin/gcc
chmod 700 /usr/bin/chattr
chmod 700 /usr/bin/w
chmod 700 /usr/bin/who
chmod 700 /usr/bin/last
chmod 700 /usr/bin/lastb
chmod 700 /usr/bin/lastlog
chmod 700 /bin/chmod
chmod 700 /bin/chown

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

Tema:

CDIGO

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

7/22

3. Seguridad del Sistema Operativo

chmod 700 /bin/chgrp
chmod 700 /bin/rpm
chmod 700 /bin/dmesg
chmod
chmod
chmod
chmod
chmod
chmod
chmod

Si

Si

Colocar
atributo de
inmutables a
algunos
archivos

Algunos de los archivos crticos

deben tener el atributo de inmutables
para prevenir que stos sean
alterados indiscriminadamente

chattr
chattr
chattr
chattr

700
700
700
700
700
700
700

+i
+i
+i
+i

/sbin/ipchains
/sbin/iptables
/sbin/sysctl
/sbin/shutdown
/sbin/reboot
/sbin/halt
/sbin/powerof

/bin/login
/bin/rpm
/bin/ps
/bin/ls

chattr +i /etc/shadow
chattr +i /etc/passwd
chattr +i /etc/group
Por supuesto, para agregar una nueva cuenta, deber quitar el
atributo a /etc/passwd, /etc/shadow y /etc/group

SI

SI

Si

Remover las
cuentas de
usuario no
necesarias

Cuentas existentes en la mquina y

que no son utilizadas deben ser
eliminadas.

SI

Ejecucin de
archivos de
arranque de
Linux

Estos deben ser restringidos slo al

usuario root

userdel
userdel
userdel
userdel
userdel
userdel

-r
-r
-r
-r
-r
-r

uucp
operator
ftp
gopher
games
news

cd /etc
chmod 700 rc.d
cd rc.d

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

Tema:

CDIGO

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

8/22

3. Seguridad del Sistema Operativo

chmod 700 *

SI

Si

Ejecucin de
archivos de
cron

Estos deben estar restringidos slo al

root

cd init.d
chmod 700
chmod 700
chmod 700
chmod 700
chmod 700

*
/etc/cron.hourly
/etc/cron.daily
/etc/cron.weekly
/etc/cron.monthly

chmod 700 /var/log

SI

Si

SI

Si

/var/log solo
debe poder
ser ledo por
el root

Si

Rutas de
archivo
(PATH)

Acceso como
root al
sistema

/var/log contiene todos los archivos

de log, y stos deben tener permisos
de lectura slo para el root

chmod
chmod
chmod
chmod
chmod

600
600
600
600
600

/var/log/messages
/var/log/dmesg
/var/log/boot.log
/var/log/lastlog
/var/log/rpmpkgs

echo $PATH
Chequear que . No se encuentra en
el PATH

Revisar que . No se encuentre en $PATH

Si se encuentra, removerlo.
En /etc/securetty puede listar desde donde est permitido
realizar login de root. Los nombres son de la siguiente forma:

El sistema no debe permitir el acceso

de root de manera remota.

tty* : local
ttyp*: remoto
ttyS*: remoto
vc/* : Consolas Virtuales (alt + F2, alt + F3, ...)
Para restringir, simplemente comente la lnea correspondiente
Por ejemplo:

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

Tema:

CDIGO

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

9/22

3. Seguridad del Sistema Operativo

console
tty1
tty2
#tty3
#tty4
#tty5
#tty6
#ttyS0
#ttyS
#ttyS2
#ttyS3
#ttyp0
#ttyp1
#ttyp2
#ttyp3
Editar /etc/security/limits.conf
grupo es el grupo de usuarios a quien se les van a aplicar los
lmites

No

NO

Limitar
permisos y
procesos a
usuarios

En /etc/security/limits.conf,
configurar limites a los procesos y
evitar el core dump

hard core 0
* hard rss 10000
@grupo hard data 131072
@grupo hard memlock 41926
@grupo hard nproc 40
@grupo hard maxlogins 2
@grupo hard nofile 20
@grupo hard fsize 50000
editar /etc/pam.d/login y aadir la siguiente linea:
session required /lib/security/pam_limits.so

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

Tema:

CDIGO

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

10/22

3. Seguridad del Sistema Operativo

/bin/chgrp wheel /bin/su
/bin/chmod 4750 /bin/su
Aadir la siguiente lnea al archivo /etc/pam.d/su

SI

Si

Restriccin
Restringir a cierto grupo especfico
auth required /lib/security/pam_wheel.so use_uid
de la
(wheel es recomendado) la utilizacin
utilizacin del
del comando su
o
comando su
auth required /lib/security/$ISA/pam_wheel.so use_uid

SI

Si

Creacin de
archivos

Asignar los permisos de usuario para

la creacin de archivos por defecto

Aada cualquier otro grupo de usuarios de confianza al grupo

wheel.
Editar el archivo de shell por defecto(si es bash, editar
/etc/bashrc, si es cst o tcsh; editar /etc/cshrc) y aadir la
siguiente lnea:
umask 077

Aadir la siguiente lnea al archivo /etc/profile:

Si

Si

Aadir
Timeout de
Sesin

Una sesin inactiva deber cerrarse

automticamente despus de cierto
tiempo

TMOUT=300

Tema:
4. 1.1.1.3 Administracin de Contraseas
Ejecutada/
Parmetro /
Valor o cambio a implantar
Procedimiento para su implantacin
Exitosa
Componente
Cambio de
Hacer que los usuarios cambien su Configurar las siguientes lneas en el archivo /etc/login.defs:
SI
si
Clave

clave peridicamente y con longitud

minima

PASS_MAX_DAYS 20

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

4.

Tema:

1.1.1.3

CDIGO

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

11/22

Administracin de Contraseas
PASS_WARN_AGE 5
PASS_MIN_LEN 8

Tema:
5. Integridad de Archivos
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente

Procedimiento para su implantacin

rpm -Va >> system.txt
En el archivo resultante, las letras iniciales en cada lnea
tienen el siguiente significado:

SI

Si

Revisin de
todos los
programas
instalados

Si

si

Proteccin
del Crontab

Tema:

Cotejar los programas en ejecucin

S = Tamao de archivo cambiado
contra sus firmas md5 segn la base
M = Modo de archivo cambiada
de datos rpm
5 = la firma md5 es diferente
D = major/minor del dispositivo no concuerda
U = Usuario dueo no concuerda
G = Grupo dueo no concuerda
T = Diferencia de Mactime
touch /etc/cron.allow
chmod 600 /etc/cron.allow
echo "root" >> /etc/cron.allow
Restringir los usuarios que tienen Incluir todos los usuarios que pueden utilizar el crontab.
derecho de utilizar el crontab
Nota: Se adicion adems el usuario oracle.

6. Seguridad en Comunicaciones

Ejecutada/

Parmetro /

Valor o cambio a implantar

Procedimiento para su implantacin

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

Tema:

Si

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

12/22

6. Seguridad en Comunicaciones

Exitosa
Si

CDIGO

Componente
Si
Si

Proteccin
SYN
Enrutamiento

SI

Si

Filtrado de
paquetes

SI

Si

Broadcast
Ping

SI

Si

Si

Si

Si

Si

Paquetes
ICMP
Malformados
ICMP
Redirect
ICMP
Timestamp

Activar la proteccin contra escaneos

de puertos que utilizan la tctica de echo 1 >/proc/sys/net/ipv4/tcp_syncookies
sealizacin SYN
for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
Deshabilitar el enrutamiento de
echo 0 > $f
paquetes originados en otros hosts
done
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
Desconocer todos los paquetes cuya
done
direccin no concuerde con la red de
la interface por donde llega y guarde
for f in /proc/sys/net/ipv4/conf/*/log_martians; do
log del evento
echo 1 > $f
done
Deshabilitar la respuesta a peticiones
de broadcast ping , sin embargo
hgalo en un ambiente de prueba ya /sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
que se pueden presentar problemas s
i va a usar el servicio WINS.
No responder
malformados

paquetes

Deshabilitar redireccin de ICMP

ICMP /sbin/sysctl -w
net.ipv4.icmp_ignore_bogus_error_responses=1
echo 0 >/proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 >/proc/sys/net/ipv4/conf/all/send_redirects

Deshabilitar las respuestas a ICM

echo 0 >/proc/sys/net/ipv4/tcp_timestamps
Timestamp

echo 30 >/proc/sys/net/ipv4/tcp_fin_timeout

Si

Si

Denegacin
del Servicio

Reducir la susceptibilidad de ataques

echo 1800 >/proc/sys/net/ipv4/tcp_keepalive_time
de
denegacin
del
servicio
echo 0 >/proc/sys/net/ipv4/tcp_window_scaling
manejando los timeouts

echo 0 >/proc/sys/net/ipv4/tcp_sack

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

Tema:
7. Configuracin de los servicios de Red
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente
Si

Si

/etc/services

Si

Si

/etc/services

Si

Si

/etc/services

Este archivo debe tener permisos 644

CDIGO

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

13/22

Procedimiento para su implantacin

Ejecute el comando chmod 644 /etc/services

Este Archivo debe ser propiedad de

Ejecute el comando chown root /etc/services
root
Este archivo debe pertenecer al
Ejecute el comando chgrp root /etc/services
grupo root
Para cada servicio innecesario proceda de la siguiente manera:
-Edite el archivos referente al servicio innecesario .
-Agregue la linea Exit 0 al principio del script.
-Guarde los cambios
O

No

No

/etc/rc.d

Utilizar el comando ntsysv level 35 o ntsysv level 3 ( segn

el nivel de arranque por defecto ) y dejar solo .
Solo deben estar los scripts de crond
arranque de los servicios necesarios network
para la funcin que cumple el sistema syslog

Los dems servicios deben ser iniciado por el

administrador del sistema.
Se cambiaron
Kudzu
sendmail

SI

Si

Dentro de este directorio se estan

ubicados los servicios que
se
/etc/xinetd.d/
encuentran en ejecucin en el
servidor.

-Entre como root al directorio /etc/xinetd.d y busque que servicio desea

deshabilitar , por ejemplo si desea deshabilitar el servicio echo abra el
archivo /etc/xinetd.d/echo
#vi /etc/xinetd.d/echo

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

Tema:

CDIGO

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

14/22

7. Configuracin de los servicios de Red

# default: off
# description: An echo server. This is the tcp \
# version.
service echo
{

disable = yes
type
= INTERNAL
id
= echo-stream
socket_type = stream
protocol
= tcp
user
= root
wait
= no
}
Y en la linea donde aparece disable=no , cambiela por disable=yes ,
luego reinicie xinetd escribiendo el siguiente cmando
#/sbin/service xinetd restart

SI

Si

Si

Si

Si

Si

/
etc/xinetd.con
f
/
etc/xinetd.con
f
/
etc/xinetd.con
f

Este archivo debe tener permisos 600 Ejecute el comando chmod 600 /etc/xinetd.conf
Este Archivo debe ser propiedad de
Ejecute el comando chown root /etc/xinetd.conf
root
Este archivo
grupo root

debe

pertenecer

Tema:
8. Configuracin del FINGER
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente
No

No

/
Verificar la necesidad del servicio.
etc/xinetd.d/fi

al

Ejecute el comando chgrp root /etc/xinetd.conf

Procedimiento para su implantacin

Si no se requiere el servicio de FINGER, debe ser eliminado
segn lo explicado en el numeral 1.1.1.6 Configuracin de los

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

Tema:

VERSIN

FECHA

21/02/08

PAGINA

15/22

SI

Versin
servicio

servicios de red.

Descargar una versin reciente que permita controlar

del Verificar que se tiene instalada una

problemas conocidos del servicio como el de
versin reciente del servicio.

requerimientos indirectos.

Tema:
9. Configuracin del TFTP (Trivial File Transfer Protocol)
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente
Si

IGT-09-09

8. Configuracin del FINGER

nger

SI

CDIGO

Si

/etc/xinetd.d/

Verificar la necesidad del servicio

Tema:
10. Configuracin del VS FTP ( File Transfer Protocol)
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente
Verificar la necesidad del servicio

No

No

No

No

Versin
servicio

No

No

Deshabilitar el
usuario
annimo

No

No

Acceso
servicio

del Asegurarse de tener una

actualizada del servicio

versin

al Incluir cuentas que tienen acceso al

servicio

Procedimiento para su implantacin

Si no se requiere el servicio de TFTP, debe ser eliminado segn
lo explicado en el numeral 1.1.1.6 Configuracin de los
servicios de red.

Procedimiento para su implantacin

Si no se requiere el servicio de FTP, debe ser eliminado segn
lo explicado en el numeral 1.1.1.6 Configuracin de los
servicios de red.
rpm -qa | grep vsftpd
Editar /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
-Validar la lista de usuarios que deben tener acceso al servicio
de ftp.
Editar

/etc/vsftpd/vsftpd.conf y ajustar estos parmetros

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

Tema:

CDIGO

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

16/22

10. Configuracin del VS FTP ( File Transfer Protocol)

local_enable=YES
userlist_enable=YES
userlist_file=/etc/vsftpd/user_list
userlist_deny=NO
dentro de user_list se
pueden acceder al ftp

Editar

No

No

colocan

los

usuarios

/etc/vsftpd/vsftpd.conf y ajustar estos parmetros

Los usuarios que acceden va FTP al

chroot_list_enable=YES
sistema deben quedar confinados a
FTP Enjaulado
chroot_list_file=/etc/vsftpd/chroot_list
su directorio home y no poderse
cambiar a ningn otro directorio
Dentro de chroot_list colocar los usuarios que tienen soporte a
ftp enjaulado ( todos )

Cambie en el archivo
Vsftpd.conf las siguientes lineas

No

No

que

FTP banner

Se recomienda cambiar el banner del ftpd_banner=Welcome to blah FTP service.

servicio FTP , para evitar que se
pueda
identificar
fcilmente
la
versin de ftp que esta manejando el Luego cree el banner para el servicio FTP Con un
servidor.
contenido similar al siguiente

Este sistema esta siendo monitoreado

permanentemente

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

Tema:
11. Open SSH
Ejecutada/
Parmetro /
Exitosa
Componente
Si

Si

Si

Si

Valor o cambio a implantar

Eliminar
El acceso de root debe ser eliminado
acceso de
editando
el
archivo
root
/etc/sshd/sshd_config
Utilizacin del
Eliminar el uso del protocolo ssh1 en
protocolo
el archivo /etc/sshd/sshd_config
ssh1

No

NO

Ubicacin de
hosts que
realizan
solicitudes

Si

Si

Mensaje de
ultima sesin

Si

Si

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

17/22

Procedimiento para su implantacin

Editar archivo /etc/ssh/sshd_config
PermitRootLogin = No
Editar archivo /etc/ssh/sshd_config
Protocol 2
Editar archivo /etc/ssh/ssh_config

Configurar la deteccin de los

equipos que realizan peticiones al
servidor

CheckHostIP = Yes

Deshabilitar el mensaje que muestra

la informacin de ltima sesin
iniciada

Editar /etc/ssh/sshd_config

Tema:
12. Exposicin de Informacin
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente
Informacin
de versin de
Sistema
Operativo

CDIGO

Nota: No se aplica este control debido a que los

permisos se dan por medio del directorio activo.

PrintLastLog = No

Procedimiento para su implantacin

Editar archivos /etc/issue y /etc/issue.net

Cambiar la informacin de /etc/issue

y /etc/issue.net

Reemplazar su contenido
Revisar que estos no sean recreados durante el inicio del
sistema, en /etc/rc.d/rc.local

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

Tema:
13. Manejo de logs y de registros
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente

No

No

Agregar
la
caracterstica
de
Inmutabilidad inmutabilidad a los logs, esto se hace
en los logs.
para agregar el permiso de solo
aadir a los ficheros de log.

CDIGO

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

18/22

Procedimiento para su implantacin

Escriba el siguiente comando con privilegios de root
#chattr RV +i +a /var/log

Nsyslogd soporta tcp y SSL para enviar el log a sistemas remotos se

puede
descargar
de:
http://coombs.anu.edu.au/~avalon/nsyslog.html
Psionic Logcheck navega por los ficheros de mensajes (y otros) a
intervalos regulares (normalmente se invoca va crontab), y enva un
correo con un sumario de cualquier actividad sospechosa que se
pueda
estar
presentando
http://www.psionic.com/abacus/logcheck/.

Si

Si

Herramientas
adicionales
para el
manejo de
logs.

Se han creado herramientas que

permite n mejorar la seguridad de los
logs , se recomienda probar estas
herramientas en una red de prueba

Colorlogs colorea los ficheros de logs, lo cual te permite identificar

con facilidad actividad sospechosa. Basado en un fichero de
configuracin, busca palabras clave y colorea las lneas (en rojo, cyan,
etc.), recibe la entrada desde STDIN, de modo que se puede utilizar
para revisar ficheros de log rpidamente (utilizando "cat", "tail" u otras
utilidades para alimentar el fichero de logs a travs del programa). Se
puede conseguir en: http://www.resentment.org/projects/colorlogs/.

WOTS recolecta ficheros de logs desde mltiples

orgenes, y genera informes o toma medidas basndose
en lo que le digas que haga. WOTS busca expresiones
regulares que se le definan, y despus ejecuta los
comandos que le listas (enviar un informe, hacer sonar
una alerta, etc.). WOTS requiere que tengas instalado
perl, y est disponible en http://www.tony-

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

Tema:

CDIGO

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

19/22

13. Manejo de logs y de registros

curtis.cwc.net/tools/

Tema:
14. Cuotas de Disco
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente

Procedimiento para su implantacin

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

Tema:

CDIGO

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

20/22

14. Cuotas de Disco

Primeramente se debe decidir que particiones dentro de /etc/fstab se
desean tener bajo limite de espacio (cuota). Las palabras clave son:
usrquota y grpquota estas dos palabras se especifican en el
archivo/etc/fstab de manera que si el archivo contiene
/dev/hda1
/dev/hda5

/
ext2 defaults 1 2
/home ext2 defaults 1 2

Se deben agregar las palabras:

/dev/hda1
/dev/hda5

No

No

Establecer
cuotas de
Disco

Se deben establecer cuotas de Disco

para impedir que un usuario en
determinadas circunstancias pueda
llenar el disco duro del computador o
llegar a ocasionar problemas de
almacenamiento.

/
ext2 defaults,grpquota 1 2
/home ext2 defaults,usrquota,grpquota 1 2

De esta forma se especifica que sobre las particiones se llevara un

limite de uso
Una vez que se realizen estas modificaciones al archivo, se debe
modificar el archivo /etc/rc.d/rc.local para que se activen las cuotas
bajo las respectivas particiones. Agrege las siguientes lineas
# Revisar la "cuota" y activarla
if [ -x /sbin/quotacheck ]; then
echo " Revisando Cuotas .... "
/sbin/quotacheck -avug
echo " Terminado "
fi
if [ -x /sbin/quotaon ]; then
echo " Activando Cuotas ... "
/sbin/quotaon -avug
echo "Done."
Fi
Nota: No se aplica este control debido a que no hay
usuarios a quienes aplicar las quotas.

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

Tema:

CDIGO

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

21/22

14. Cuotas de Disco

Una vez hecho esto , se debe de dar "boot" al servidor o bien ejecutar
el archivo /etc/rc.d/rc.local para que sea activada la opcin de
"cuotas". Esto generar archivos del tipo : quota.user y quota.group
en cada directorio de la particin. En el caso anterior, los archivos
quedarian asi:
/quota.group
/home/quota.user
/home/quota.group
El comando edquota determina el uso de cada usario o grupo segun
sea el caso bajo las particiones: edquota daniel ,desplegaria lo
siguiente en un editor de textos :

No

No

Quotas for user daniel:

/dev/hda1: blocks in use: 133982, limits (soft = 0, hard = 0)
inodes in use: 1510, limits (soft = 0, hard = 0)
/dev/hda6: blocks in use: 13390, limits (soft = 0, hard = 0)
inodes in use: 100, limits (soft = 0, hard = 0)
En el desplegado anterior se puede observar que el usuario "daniel" ya
es dueo de varios archivos en las particiones, pero aun no tiene
limites.La modificacin de este archivo se hace directamente en un
editor de textos. El significado de los limites es el siguiente:
blocks : Capacidad en KB (4096=4MB | 1024=1MB)
softlimit: limite en KB sobre la particion en especifico ("file system")
hardlimit: limite absoluto en KB sobre todo el disco
inodes : Numero de archivos ("inodes")
softlimit: numero mximo de archivos sobre la particion en especifico
("file system")
hardlimit: numero mximo de archivos absoluto en todo el disco

GUIA DE ASEGURAMIENTO DE RED HAT

ENTERPRISE

Tema:

CDIGO

IGT-09-09

VERSIN

FECHA

21/02/08

PAGINA

22/22

14. Cuotas de Disco

En dado caso que se requiera imponer estas cuotas a otros usuarios
se hace mediante el siguiente comando:
#edquota -p daniel -u oracle aol postgres

No

No

De esta manera los usuarios oracle aol postgres seran

asignados los mismos limites del usuario daniel
Si simplemente se desea observar cuanto espacio esta utilizando cada
usuario o grupo utilize el comando:
#quota -u daniel o quota -g cvs