Bé, aquest post el venia preparant per el meu blog des de fa algun temps que m'ho van suggerir a DesdeLinux, I per falta de temps no havia pogut, o de ganes. Si sóc una mica gandul ????. Però ara els va en strike, com diem a Cuba ...
0- Mantenir actualitzats els nostres sistemes amb els últims updates de seguretat.
0.1- Llistes de correu d'actualitzacions crítiques [Slackware Security Advisor, Debian Security Advisor, En el meu cas]
1- Zero accés físic als servers per part de personal no autoritzat.
1.1- Aplicar password a l' BIOS dels nostres servers
1.2- No boot per CD / DVD
1.3- Password al GRUB / Lilo
2- Bona política de contrasenyes, Caràcters alfanumèrics i uns altres.
2.1- Envelliment dels passwords [Password Aging] amb la comanda "Chagas", així com nombre de dies entre canvi de password i última data de canvi.
2.2- Evitar l'ús de password anteriors:
a /etc/pam.d/common-password
password sufficient pam_unix.so use_auth ok md5 shadow remember 10
Així canvies el password i et recorda els darrers 10 passwords que tenia l'usuari.
3- Bona política de gestió / segmentació de la nostra xarxa [routers, switches, VLANs] i tallafocs, així com regles de filtrat INPUT, OUTPUT, FORWARD [NAT, SNAT, DNAT]
4- Habilitar l'ús de shells [/ etc / shells]. Els usuaris que no hagin de diners en el sistema els toca / bin / false o / bin / nologin.
5- Bloquejar usuaris quan el login falla [faillog], així com controlar el compte d'usuari de el sistema.
passwd -l pepe -> bloquejar a l'usuari pepe passwd -v pepe -> desbloquejar a l'usuari pepe
6- Habilitar l'ús de "sudo", MAI loguearnos com a root per ssh, "MAI". De fet s'ha d'editar la configuració de ssh per aconseguir aquest propòsit. Utilitza claus públiques / privades en els seus servers amb sudo.
7- Aplicar en NOSTRES sistemes el "Principi de l'privilegi mínim".
8- Comprovar els nostres serveis de tant en tant [netstat -lptun], per a cada un dels nostres servers. Afegir eines de monitorització que ens puguin ajudar en aquesta tasca [Nagios, Cacti, Munin, Monit, Ntop, Zabbix].
9- Instal·lar IDSS, Snort / AcidBase, Snotby, Barnyard, OSSEC.
10- Nmap és el teu amic, fes-lo servir per verificar la teva subxarxa / subxarxes.
11- Bones pràctiques de seguretat en OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP [els que la majoria fa servir] i algun que altre servei que necessitis a la teva xarxa.
12- Xifrar tota comunicació mentre sigui possible en els nostres sistemes, SSL, GnuTLS, StartTLS, enviat a diari, etc ... I si maneges informació sensible, encripta el teu disc dur !!!
13- Actualitzar els nostres servidors de correu amb les últimes regles de seguretat, llistes negres i antispam.
14- Logueo d'activitat en els nostres sistemes amb logwatch i logcheck.
15- Coneixement i ús d'eines com top, sar, vmstat, free, entre d'altres.
sar -> system activity report vmstat -> processos, memòria, systema, i / o, activitat de l'cpu, etc iostat -> cpu i / o per a l'estat mpstat -> multiprocessor per a l'estat and usage pmap -> ús de memòria pels processos free - > memòria iptraf -> trànsit en temps real de la nostra xarxa ethstatus -> console-based ethernet statistics monitor etherape -> graphical network monitor ss -> sòcol per a l'estat [tcp sòcol info, udp, raw sockets, DCCP sockets] tcpdump -> Anàlisi detallats de trànsit vnstat -> network traffic monitor of selected interfícies mtr -> eina de diagnòstic i anàlisi de sobrecàrrega en les xarxes ethtool -> stats about network cards
Per ara és tot. Sé que hi ha mil i una suggeriments de seguretat més en aquest tipus d'entorn, però, aquestes són les que més m'han xocat de prop, o que en algun moment he hagut d'aplicar / exercir en algun ambient dels que he administrat.
Una abraçada i que tant de bo els serveixi 😀
Convido a que en els comentaris ens expliquin d'alguna que una altra regla que hagin implementat a part de les ja esmentades, per augmentar el coneixement dels nostres lectors 😀
Bé jo afegiria:
1.- Aplicar regles sysctl per evitar l'accés dmesg, / proc, SysRq, assignar PID1 a l'core, habilitar proteccions a hard i soft symlinks, proteccions a les piles TCP / IP tant per IPv4 com per IPv6, activar full VDSO per màxima randomització de punters i assignacions d'espais de memòria i millorar la fortalesa contra buffer overflows.
2.- Crear murs de foc de l'tipus SCI (Stateful Package Inspect) per evitar que connexions no creades o permeses amb anterioritat tingui accés a el sistema.
3.- Si no tens serveis que ameriten connexions amb privilegis elevats des remot, simplement revoca l'accés als mateixos usant access.conf, o, si no habilitar l'accés a només a un determinat usuari o grup.
4.- Utilitza hard limits per evitar que accessos a certs grups o usuaris poden desestabilitzar el teu sistema. Molt útil en ambients on hi ha multiusuari real actiu en tot moment.
5.- TCPWrappers és el teu amic, si aquestes en un sistema amb suport per al mateix, fer-lo servir no et vindria malament, així podràs denegar l'accés des de qualsevol hosts llevat que ja aquest configurat prèviament en el sistema.
6.- Crear claus SSH RSA de al menys 2048 bits o millor de 4096 bits amb claus alfanumèriques de mes de 16 caràcters.
7.- Com de world-writable ets? Revisar els permisos de lectura-escriptura dels teus directoris no està gens malament i és la millor manera d'evitar accessos no autoritzats en entorns de multiusuaris, sense explicar que fa més difícil que certs accessos no autoritzats puguin accedir a informació que tu no vols que ningú més vegi.
8.- Muntar tota partició externa que no ho mereixi, amb les opcions noexec, nosuid, nodev.
9.- Utilitza eines com rkhunter i chkrootkit per revisar de forma periòdica que el sistema no tingui un rootkit o malware instal·lat. Una mesura prudent si ets dels que instal·les coses des repositoris no segurs, des PPA o simplement vius compilant codi des de llocs no confiables.
Uhmmm, deliciós ... Bon comentari, afegeixin nois ... 😀
Aplicar un Mandatory Access Control amb SELinux?
molt bon article
Gràcies amic 😀
Hola i si sóc un usuari normal, em convé usar su o el sudo?
Jo ús el seu perquè no m'agrada suo, pel fet que qualsevol que tingui la contrasenya d'usuari pot canviar el que vulgui en el sistema, en canvi amb el seu no.
En el teu PC no molesta usar el seu, pots usar-lo sense problemes, en els servidors, es recomana encaridament desactivar l'ús del seu i usar sudo, molt diuen que és pel fet d'auditar qui va executar que comanda i suo fa aquesta tasca ... jo en el particular, en el meu pc ús seva, tal com tu ...
És clar, no sé ben bé com funciona en els servidors. Encara que, em sembla que suo tenia l'avantatge que pots donar privilegis a l'usuari d'un altre ordinador, si no m'equivoco.
Interessant article, jo encriptar amb gnu-gpg alguns arxius, com és això de el privilegi a mínim, en el cas que vulgui executar per exemple un binari de procedència desconeguda perdut en els immensos mars d'informacion en el disc ¿com li trec accés a certes funcions ?
Aquesta part te la dec, encara que crec que només hauries executar com suo / root, programes que siguin fiables, és a dir que vinguin de la teva repo ...
Recordo haver llegit que hi ha una forma en com capar les capacitats root en algun manual sobre GNU / Linux i UNIX, si ho trobo el col·loco 😀
@andrew aquí està l'article que esmenti i una mica més d'ajuda
http://www.cis.syr.edu/~wedu/seed/Labs/Capability_Exploration/Capability_Exploration.pdf
http://linux.die.net/man/7/capabilities
https://wiki.archlinux.org/index.php/Capabilities
i les gàbies chown per executar binaris desconeguts?
Utilitza suo en tot moment és molt millor.
O bé pots fer servir suo, però limitant el temps en què es recorda la contrasenya ..
Eines similars que utilitzo per monitoritzar la pc, «iotop» com a substitut de «iostat», «htop» exelente «administrador de tasques», «iftop» monitoratge d'ample de banda.
molts creuran que això és exagerat, però ja he vist atacs per incloure un servidor a una botnet.
https://twitter.com/monitolinux/status/594235592260636672/photo/1
pd: captaires xinesos i els seus intents de hackeig al meu servidor.
cosa que també convé és usar gàbies chown per als serveis, així si per alguna raó són atacades no comprometrien a el sistema.
L'ús de la comanda també ps és excel·lent per monitoritzar i podria ser part de l'accions per revisar errors en seguretat. executar ps -ef llista tots els processos, és similar a top però mostra algunes diferències. la instal·lació de Iptraf és una altra eina que pot funcionar.
Bona aportació.
Jo afegiria: SELinux o Apparmor, segons la distro, sempre habilitats.
Per la meva pròpia experiència em vaig adonar que és una mala pràctica desactivar aquests components. Gairebé sempre ho fem quan anem a instal·lar o configurar un servei, amb l'excusa que s'executi sense problemes, quan realment el que hauríem és aprendre a manejar-los perquè permeti aquest servei.
Una salutació.
1.¿¿como xifrar tot el sistema de fitxers ?? ¿¿Val la pena ??
2.¿¿se ha de desxifrar cada que es va a actualitzar el sistema ??
3. ¿Xifrar tot el sistema de fitxers de la màquina és el mateix que xifrar qualsevol altre arxiu ??
¿Com es nota que saps del que parles?
També, es pot engabiar programes i fins multiples usuaris. Encara que fer això és més feina, però si alguna cosa passés, i tenies una còpia prèvia d'aquesta carpeta, només és enganxar i fer ampolles.
La millor i més convenient política de seguretat és no ser paranoic.
Pruebenla, és infal·lible.
Estic usant CSF i a l'hora de desbloquejar a un client que va col·locar malament la contrasenya en algun accés, aquest demora en el procés però ho fa. És normal?
Estic buscant la comanda per desbloquejar des del ssh ... algun suggeriment