Algunas observaciones antes de comenzar.
- Se supone que el guión, por defecto, se ejecuta en el directorio /root/Bastille ... esto se modificará en una futura versión y será posible ejecutarlo desde cualquier lugar (de hecho, quizás ya sea así en el momento de leer estas líneas) .
- Dos módulos proponen la creación de cuentas y presuponen que en el sistema se usan contraseñas ocultas. Esto ocurre en la instalación por defecto y es conveniente verificar que el directorio /etc/passwd no contenga contraseñas, que al directorio /etc/shadow sólo tenga acceso el superusuario y que sea este directorio el que contiene las contraseñas.
- Bastille-Linux aún no administra enlaces entre módulos como los que aparecen en la configuración del núcleo (esta característica estará disponible en una próxima versión). Se debe prestar atención a las respuestas dadas en cada módulo y a las consecuencias que pueden originar. Así, por ejemplo, es posible decirle al módulo IPChains bloquear el puerto 2049 y mantener el NFS en la lista de demonios activos del módulo MiscellaneousDaemons (NFS usa este puerto).
- Los módulos paso a paso.
IPChains
Este módulo sirve para configurar un cortafuegos. Si bien no es indispensable para proteger el sistema, permite controlar el tráfico de red desde y hacia nuestra máquina. Sin embargo, no basta con bloquear el tráfico con un cortafuegos. Hay que reconfigurar los demonios (recordar que no son inútiles diferentes niveles de seguridad).
El principio en que se basa este guión es excelente. Considera 2 interfaces de red: la que se comunica con el exterior y la que se comunica con la red local. El objetivo es determinar los servicios disponibles en cada máquina y y bloquear el resto. Por defecto, se rechaza todo lo que proviene del exterior. A continuación el guión establecer las reglas para autorizar determinados servicios.
El guión simultáneamente se hace cargo de los protocolos TCP, UDP, ICMP y propone una lista de servicios que se deben vigilar para cada uno de ellos. Sería demasiado extenso detallar el enfoque que sigue Bastille-Linux para instalar un cortafuegos pero la lectura del guión con sus comentarios ayuda muchísimo. Sin embargo, se necesita de un mínimo de conocimiento para entender este módulo.
PatchDownload - Obteniendo los parches.
Las actualizaciones son importantes para mantener la integridad del sistema. En los últimos meses, bind y piranha, (por citar algunos) han provocado graves problemas de seguridad. Fueron rápidamente solucionados: al ser el código fuente público, algunas personas inmediatamente escribieron los parches.
Desafortunadamente, este guión aún no funciona del todo bien. Es bastante complejo puesto que se deben determinar los paquetes instalados y, entre ellos, los que se necesitan actualizar. A continuación, se debe descargar el parche, verificar que no ha sido modificado (por algún hacker o durante el proceso de transferencia) antes de instalarlo. La verdadera dificultad radica en que esta etapa depende de la distribución empleada.
Por el momento, Jay Beale recomienda realizar esta etapa en forma manual sin descuidarla. Una versión más funcional de este módulo está en vís de desarrollo y estará disponible muy pronto.
FilePermissions - Los permisos de los archivos.
Este módulo está inspirado en el documento del grupo SANS. Su finalidad es determinar los programas que deben ser accesibles únicamente al superusuario (o a un miembro del grupo root), los que necesitan conservar el bit SUID, etc ...- Would you like to set more restrictive permissions on the administration utilities? - ¿Desea imponer permisos más restringidos sobre las utilidades de administración? [N]
Ciertos programas no deben ser accesibles a todo el mundo. Bastille-Linux proporciona una inmensa lista de programas que se encuentran con los permisos 0750. - Está a continuación el tema del bit SUID. Este bit permite a un programa ser ejecutado por un usuario con los permisos de superusuario (la 's' en la posción 4, 7 y 10)
- >>ls -l /bin/ping
-rwsr-xr-x 1 root root 17968 Mar 6 15:57 /bin/ping
Bastille-Linux sugiere eliminar este bit de algunos programas entre los que se encuentran mount/umount, ping, dump/restore, cardctl, ... Esta lista comprende entre otros a las utilidades de red ping y traceroute que permiten verificar el estado de un servidor. El quitar el bit SUID es actuar en forma paranoica pero no impide el uso estándar de la máquina.
Asimismo, es posible encontrar en esta lista de programas SUID-root los (comandos r). Tales como los programas rcp, rlogin o rsh. Estas utilidades no encriptan los datos que envían a través de la red. Además, usan únicamente la dirección IP como medio de autenticación lo cual es inadecuado (posibilidad de engaños o 'spoofing').
AccountSecurity - La seguridad de las cuentas
Un hacker a menudo comienza con el robo de la cuenta de un usuario (o una cuenta del sistema). Algunas precauciones sencillas dificultan la tarea y permiten detectar eventuales intrusiones.- Would you like to set up a second UID 0 account - ¿Desea configurar una segunda cuenta con UID 0? [N]
Al responder afirmativamente a esta pregunta se crea otra cuenta root en el sistema. En este caso, no se debería seguir usando la cuenta original de root sino la recién creada. Esto incrementa en un factor de dos la posibilidad de que un hacker pueda romper la clave de superusuario pero permite conocer quién utiliza la identidad de superusuario analizando los archivos situados en /var/log. - May we take strong steps to disallow the dangerous r-protocols? - ¿Se pueden tomar medidas drásticas para los comandos r? [Y]
Como hemos mencionado anteriormente los comandos r son fuentes potenciales para obtener una nueva cuenta en una máquina: ¡las contraseñas se transfieren sin cifrar! En una red de este tipo un 'sniffer' (rastreador) ofrece interesantes posibilidades...
Bastille-Linux prohibe el uso de los comandos r via PAM (Pluggable Authentication Modules), elimina los permisos de ejecución y bloquea los servidores que están en tcp_wrapper (rlogind, rexecd y rshd). Están configurados en /etc/inetd.conf donde es suficiente colocarlos como comentarios. - Would you like to enforce password aging? - ¿Desea imponer un límite de caducidad a las contraseñas? [Y]
Las contraseñas se deberán cambiar cada 180 días. Se desactivan las cuentas cuyas contraseñas no se cambian. - Would you like to create a non-root user account? - ¿Desea crear una cuenta para un usuario estándar? [N]
Hay que usar lo mínimo posible la cuenta de superusuario. De hecho, un simple comando como rm -rf ejecutado por el superusuario puede provocar un desastre cosa que no sucede en el caso de un usuario sin dichos privilegios. Únicamente las tareas de administración se deben hacer usando la cuenta de superusuario. - Would you like to restrict the use of cron to administrative accounts? - ¿Desea restringir el uso de cron para tareas administrativas? [Y]
cron permite ejecutar tareas en forma automática. Por ejemplo, un administrador puede usarlo para verificar regularmente la integridad de archivos o para hacer búsquedas en /var/log. Por otra parte, permitir su uso a todos los usuarios es brindar demasiados priviliegios. Para evitar esta situación, Bastille-Linux crea un archivo /etc/cron.allow que contiene los usuarios autorizados a usar este servicio. 
Si te ha gustado el artículo inscribete al feed clicando en la imagen más abajo para tenerte siempre actualizado sobre los nuevos contenidos del blog: 
0 comentarios:
Publicar un comentario
No insertes enlaces clicables, de lo contrario se eliminará el comentario. Si quieres ser advertido via email de los nuevos comentarios marca la casilla "Avisarme". Si te ayudé con la publicación o con las respuestas a los comentarios, compártelo en Facebook,Twitter o Instagram. Gracias.