Sugerencias de seguridad en sistemas GNU/Linux

Bueno, este post lo venía preparando desde hace algún tiempo que me lo sugirieron en DesdeLinux, y por falta de tiempo, o de ganas, si soy algo vago :D. Pero ahora les va en strike, como decimos en Cuba…

2435469746_e070018d20_oNota: Esto es una recopilación de normas de seguridad básicas para los administradores de sistemas, en este caso, para los que como yo administramos redes/sistemas basados en GNU/Linux…

Nota2: Escribo esto escuchando “Bleeding me” de Metallica, así que ya saben…

0- Mantener actualizados nuestros sistemas con los últimos updates de seguridad.

0.1- Listas de correo de actualizaciones criticas[Slackware Security Advisor, Debian Security Advisor, en mi caso]

1- Cero acceso físico a los servers por parte de personal no autorizado.

1.1- Aplicar password al BIOS de nuestros servers

1.2- No boot por CD/DVD

1.3 Password en el GRUB/Lilo

1418303458_704eba54192- Buena política de passwords, caracteres alfanuméricos y otros.

2.1- Envejecimiento de los passwords[Password Aging] con el comando “chage”, así como número de días entre cambio de password y última fecha de cambio.

2.2- Evitar el uso de password anteriores:

en /etc/pam.d/common-password

password sufficient pam_unix.so use_auth ok md5 shadow remember 10

Así cambias el password y te recuerda los ultimos 10 passwords que tenía el usuario.

3- Buena política de gestión/segmentación de nuestra red[routers, switches, vlans] y firewall, así como reglas de filtrado INPUT, OUTPUT, FORWARD[NAT, SNAT,DNAT]

4- Habilitar el uso de shells[/etc/shells]. Los usuarios que no deban loguearse en el sistema les toca /bin/false o /bin/nologin.

5- Bloquear usuarios cuando el login falla[faillog], así como controlar la cuenta de usuario del sistema.

# passwd -l pepe -> bloquear al usuario pepe

# passwd -v pepe ->  desbloquear al usuario peperoot6- Habilitar el uso de “sudo”, NUNCA loguearnos como root por ssh, “NUNCA”. De hecho se debe editar la configuración de ssh para lograr este propósito. Use llaves públicas/privadas en sus servers con sudo.

7- Aplicar en nustros sistemas el “Principio del privilegio mínimo“.

8- Chequear nuestros servicios cada cierto tiempo[netstat -lptun], para cada uno de nuestros servers. Agregar herramientas de monitoreo que nos puedan ayudar en esta tarea[Nagios, Cacti, Munin, Monit, Ntop, Zabbix].

9- Instalar IDSs, Snort/AcidBase, Snotby, Barnyard, OSSEC.

10- Nmap es tu amigo, úsalo para verificar tu subred/subredes.

ddos_bomb_main11- Buenas prácticas de seguridad en OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP[los que la mayoría usa] y algún que otro servicio que necesites en tu red.

12- Encriptar toda comunicación mientras sea posible en nuestros sistemas, SSL, gnuTLS, StarTTLS, digest, etc… Y si manejas información sensible, encripta tu disco duro!!!

13- Actualizar nuestros servidores de correo con las últimas reglas de seguridad, listas negras y antispam.

14- Logueo de actividad en nuestros sistemas con logwatch y logcheck.

15- Conocimiento y uso de herramientas como top, sar, vmstat, free, entre otras.

sar -> system activity report

vmstat -> procesos, memoria, systema, i/o, actividad del cpu, etc

iostat -> cpu i/o status

mpstat -> multiprocessor status and usage

pmap -> uso de memoria por los procesos

free -> memoria

iptraf ->  tráfico en tiempo real de nuestra red

ethstatus -> console-based ethernet statistics monitor

etherape -> graphical network monitor

ss -> socket status[tcp socket info, udp, raw sockets, DCCP Sockets]

tcpdump -> Análisis detallados de tráfico

vnstat -> network traffic monitor of selected interfaces

mtr -> herramienta de diagnóstico y análisis de sobrecarga en las redes

ethtool -> stats about network cards

Por ahora es todo. Sé que existen mil y una sugerencias de seguridad más en este tipo de entorno, pero, estas son las que más me han chocado de cerca, o que en algún momento he tenido que aplicar/ejercer en algún ambiente de los que he administrado.

Un abrazo y que ojalá les sirva 😀

 

Anuncios

Un pensamiento en “Sugerencias de seguridad en sistemas GNU/Linux

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s