Bastille-Linux o cómo mejorar la seguridad de nuestro sistema (5a parte): acceso al sistema y otros demonios.

Logging - Acceso al sistema

syslog es uno de los servicios más importantes para detectar si una máquina ha sido intervenida. Este demonio registra ciertos sucesos que tienen lugar en el sistema. Se puede optar por limitar la cantidad de información almacenada.

 

Cabe destacar que si se elige un número mínimo de servicios, cualquier anomalía en los archivos /var/log se puede detectar fácilmente debido al pequeño volumen de información guardada. En cambio, si el sistema posee muchos servicios inútiles los archivos /var/log se vuelven inmensos y por lo tanto difíciles de analizar (en este caso es necesario recurrir a guiones dedicados).

 

Este módulo agrega nuevos controles al archivo /etc/syslog.conf.

• Would you like to add additional logging? - ¿Desea añadir un acceso adicional al sistema? [Y]
• 
  Bastille-Linux crea un archivo /var/log/kernel para almacenar los mensajes del kernel y los errores graves (los mensajes provenientes del cortafuegos pertenecen a la primera categoría). Determinadas informaciones se envían a 2 terminales (TTY 7 y TTY8). Un nuevo archivo /var/log/loginlog registra los usuarios que se conectan al sistema.
• Do you have a remote logging host? - ¿Dispone de acceso a un host remoto? [N]
  Salvo que posea otra máquina hacia la que envía sus mensajes, la respuesta debe ser negativa.
• Would you like to set up process accounting? - ¿Desea activar la contabilidad de procesos? [N]
• 
  En Linux, es posible registrar los comandos que han sido ejecutados, cuándo y por quién. Si bien es útil para seguir de cerca las actividades de un hacker hace que el archivo log rápidamente se vuelva enorme. En pocas palabras, su uso consume espacio de disco y tiempo de CPU. Conviene desactivar esta opción a menos que realmente resulte necesario.

MiscellaneousDaemons - Otros demonios.

Siempre preocupados por la minimización, este módulo sólo activa los servidores que realmente se necesitan al iniciar el sistema. Por defecto, se desactivan casi todos los servicios inútiles. Se puede volver a activar un servicio mediante el comando chkconfig.

Servicios.

apmd
Se usa para controlar las baterias de las computadoras portátiles.

NFS y samba
Para administrar sistemas de archivos compartidos ... si bien son muy útiles en redes heterogéneas son origen de enormes agujeros de seguridad.

atd
Todo lo que se puede hacer por intermedio de atd se puede hacer mediante cron.

servicios PCMCIA
Si se tiene un dispositivo PCMCIA, lo que es frecuente en portátiles pero mucho más raro en estaciones de trabajo.

dhcpd
Servidor para proporcionar direcciones IP temporales. Este tipo de servicio lo proporciona un Proveedor de Servicios de Internet (ISP) o se usa en una red local.

gpm
Se usa en modo consola (texto) para manejar el ratón. A menos que se trabaje a menudo en modo consola este servicio no sirve para nada.

servidor de noticias
Pocas personas necesitan de un servidor de noticias en sus máquinas. En general, es tarea del ISP.

routed
Así como el servidor de noticias es tarea del ISP, él es tarea de su DNS.

NIS
Servicio muy práctico en una red local...¡pero origen de muchos problemas desde el punto de vista de la seguridad!

snmpd
Servidor destinado a la administración de una red (estadísticas, gestión de usuarios,...)

sendmail
No es necesario ejecutarlo como demonio para permitir el envío y recepción de correo. Además, si recibe su correo de su ISP por POP o IMAP, sendmail carece de utilidad y como programa posee un gran historial de fallos...

Sendmail.

Como hemos mencionado previamente, sendmail es un servicio que gestiona correo. Su historia esta plagada de agujeros de seguridad provocados por la diversidad de tareas que tiene un servidor de correo y los privilegios necesarios para llevarlas a cabo (resolución de nombres, información para syslog, etc...). Además de sus vulnerabilidades, sendmail permite obtener información de un usuario específico de un servidor determinado. Por ejemplo, el comando sendmail EXPN y VRFY permiten saber a una persona si existe una cuenta de usuario concreta.

 

Como hemos dicho, no es necesario ejecutar sendmail como demonio para enviar y recibir correo. Para un uso individual sendmail no sirve verdaderamente para nada ya que es suficiente con utilizar un cliente de correo cualquiera (netscape, rmail, pine, mutt, etc...) para enviar correo. Para recibirlo, bastará con activar sendmail a intervalos regulares para poder verificar el contenido de nuestra casilla de correos.

 

• Do you want to leave sendmail running in daemon mode? - ¿Desea que sendmail permanezca ejectuándose como demonio? [Y]
• 
  Como hemos visto en la mayoría de los casos carece de utilidad y es sumamente peligroso por lo tanto es conveniente desactivarlo.
• Would you like to run sendmail via cron to process the queue? - ¿Desea que sendmail gestione a través de cron la cola de espera de los mensajes? [N]
  
• Si se contesta afirmativamente, sendmail verificará la cola de mensajes cada 15 minutos. Es posible modificar este parámetro desde el archivo /etc/sysconfig/sendmail.
• Would you like to disable the VRFY and EXPN sendmail commands? - ¿Desea desactivar los comandos VRFY y EXPN de sendmail? [Y]
• 
  Estos comandos proporcionan información útiles tanto a hackers como spammers.

 

RemoteAcces - Acceso remoto.

A menudo resulta útil poder conectarse a una máquina sin estar físicamente próxima a ella. Hemos visto que los comandos r permiten hacer esto de una manera insegura.

 

Bastille-Linux sugiere descargar ssh. Se trata de un programa que cifra los datos (y por lo tanto las contraseñas) que circulan a través de una conexión.

 

Se puede usar un programa donde el tamaño de la clave de sesión no supere los 128 bits (N.T: este límite varía de acuerdo a las leyes propias de cada país). Expliquemos qué es una clave de sesión. Se trata de la clave que servirá para cifrar los datos. Esta clave se construye paso a paso por el cliente y el servidor y resulta de un protocolo de intercambio de claves (Diffie-Hellman en la mayoría de los casos).  El principio consiste en construir una clave con una parte de la clave de cada uno de los participantes. Esta clave de sesión se usa para cifrar los datos en base a un algoritmo simétrico (es decir, se usa la misma clave tanto para cifrar como para descifrar datos). Así DES, que sirve para cifrar las contraseñas en Unix, es un algoritmo simétrico que posee una clave de 56 bits.

 

Ahora bien, una clave de 128 bits ¿es suficiente para garantizar la confidencialidad y seguridad de una transacción?: ¡SÍ!. Aún cuando actualmente DES no se considere "muy segura", los mejores ataques no están al alcance de todo el mundo. Por otra parte, es un error común creer que una clave de tamaño 2k es dos veces más difícil de romper que otra de tamaño k. De hecho, la dificultad se incrementa mucho más rápido que el tamaño de la clave. Para una clave de tamaño k, existen 2^k claves posibles (y por lo tanto 2^2k para una clave de tamaño 2k). Por lo tanto, al duplicar el tamaño de una clave estamos agregando¡  claves posibles! Cuando uno comprueba la verdadera dificultad que implica romper a DES (56 bits) uno espera que las claves de sesión de 128 bits ofrezcan una seguridad inviolable (suponiendo que el algoritmo de cifrado/descifrado no contenga agujeros de seguridad).  Desde el punto de vista de un atacante, el aumentar este límite hace que la dificultad pase de un nivel imposible a otro "aún más imposible".

 

Cuatro programas diferentes que proporcionan servicios parecidos:

ssh 1.2.x : un sistema cliente-servidor para establecer conexiones cifradas;

ssh 2.x : idéntico al anterior pero con menos fallos y más posibilidades;

OpenSSH : una versión similar a la anterior pero bajo licencia BSD;

ssf : como ssh, pero adaptado a la legislación francesa

Los restantes módulos están relacionados con servicios. La política que se toma para ellos puede parecer sorprendente: se empieza por restringir los privilegios y se termina por detenerlos. Contrariamente a lo que podría pensarse, estas dos medidas no son contradictorias. En efecto, estos servicios se pueden reactivar en cualquier momento, ya sea accidentalmente o por algún intruso...con lo cual resulta conveniente restringir sus privilegios.

DNS.

Un DNS (Domain Name Server) pemite vincular una dirección IP con el nombre de una máquina y viceversa. Por ejemplo, la dirección 198.186.203.36 corresponde a www.bastille-linux.org. La función principal de este servidor se denomina BIND (to bind significa, entre otras cosas, vincular). Últimamente, se ha descubierto un ataque de tipo DoS contra BIND. Se lo puede evitar, dando acceso DNS a un grupo reducido de directorios (antes de ejecutar un comando o guión , se puede cambiar el directorio raíz - por defecto / - mediante el comando chroot).

Agreguemos algunas observaciones técnicas antes de detallar el comportamiento de Bastille-Linux. El demonio asociado a este servicio se denomina named. Su configuración proviene del archivo   /etc/named.conf.

• Would you like to chroot named and set it to run as a non-root user? - ¿Desea cambiar el directorio raíz de named y ejecutarlo como un usuario normal? [N]
  Para hacer todo esto, Bastille-Linux crea un nuevo usuario denominado dns que no posee intérprete de comandos sino únicamente su propio directorio   /home/dns.  En el interior se reconstruye la arquitectura de un sistema clásico agregando los directorios usuales (/usr, /etc, /var, etc ...). A continuación, se copian los archivos de configuración y bibliotecas que necesita el demonio. Son necesarias otras pequeñas modificaciones (para syslog por ejemplo ver el guión DNS.pm). Ahora el DNS tiene su propio entorno :)
• Would you like to deactivate named, at least for now? - ¿Desea desactivar momentáneamente a named? [Y]
  La mayoría de las personas no necesitan poseer un servidor de nombre en sus máquinas ya que el ISP les brinda dicho servicio. El COMO-DNS describe la instalación de un caché para la resolución de nombres pero aún así puede ser origen de problemas.

 

Apache

Apache es el servidor web más utilizado de Internet. Un servidor de este tipo es útil en dos casos:

1. para albergar un sitio web: en este caso es necesaria una dirección IP fija. Los ISP (Proveedores de Servicios de Internet) tienen esta clase de direcciones lo cual no es el caso de sus clientes.
3. para probar nuestras propias páginas web: en este caso bastará con activar el servidor (/etc/rc.d/init.d/httpd start) en el momento apropiado.

El archivo para configurar este demonio se encuentra en /etc/httpd/conf.

• Would you like to deactivate the Apache web server? - ¿Desea desactivar el servidor web Apache? [Y]
• 
  Puesto que no siempre se lo necesita y en aras de la minimización lo desactivamos.
• Would you like to bind the web server to listen only to the localhost? - ¿Desea vincular al servidor web para que "escuche" solamente al localhost? [N]
  Es posible vincular al demonio httpd a una dirección específica. Aquí, Bastille-Linux propone conectarlo a la dirección del localhost 127.0.0.1. Esto permite tener en ejecución un servidor en una máquina para probar nuestras propias páginas web.
  Se podrán acceder a ellas desde la dirección:

   

• http://localhost/ (o http://localhost/raynal para acceder a nuestras páginas web personales)

•  

  Es decir Apache usa la interfaz loopback (lo) para funcionar.

•  

• Would you like to bind the web server to a particular interface? - ¿Desea vincular al servidor web con una interfaz particular? [N]
• 
  Al responder aquí afirmativamente anula la respuesta precedente. Hemos dicho que queríamos usar el servidor web con el loopback ... y esta pregunta permite precisar otra interfaz (Ethernet, por ejemplo) mediante una dirección IP que le es asociada.
• Would you like to deactivate the following of symbolic links? - ¿Desea desactivar el seguimiento de enlaces simbólicos? [Y]
• 
  Es imperativo responder afirmativamente. De la misma manera que el DNS funciona en un espacio restringido, no se debe permitir a Apache salir de su universo (es decir, /home/httpd). Por ejemplo, si uno de los usuarios posee, en su directorio para el servidor web, un enlace al directorio raíz /, todo el mundo puede acceder a todos los archivos...en particular a los archivos de configuración del tipo passwd entre otros.
• Would you like to deactivate server-side includes? - ¿Desea desactivar los "server-side includes"? [Y]
• 
  Como dice Jay Beale: si no sabe de qué se trata es porque no lo necesita. Baste con saber que se puede configurar para que los usuarios puedan ejecutar cualquier programa en el servidor (y sí...tiemblen amigos administradores ...sería un pesadilla para ustedes ;-)
• Would you like to disable CGI scripts, at least for now? - ¿Desea momentáneamente desactivar los guiones CGI? [Y]
• 
  Escribir un guión CGI (Common Gateway Interface) no es extremadamente difícil pero se necesitan tomar ciertas precauciones (sobrecargar la pila, por ejemplo, genera archivos core en el servidor). Gran cantidad de métodos actuales para atacar a un sistema explotan los errores cometidos en estos guiones.
• Would you like to disable indexes? - ¿Desea deshabilitar los archivos índex¿ [N]
  Ante la ausencia de un archivo index.html en un directorio, Apache lista todos los archivos que contiene. Esto es menos grave que permitir la lectura de los enlaces simbólicos. No obstante imaginen que un determinado directorio contenga datos importantes.

Un servidor, como cualquier otro servidor, puede ser una invitación a visitar nuestra máquina y, quizás, a dañarla si encuentra incorrectamente configurada. Esto puede resultar bastante molesto en algunos casos. Supongamos por ejemplo, el caso de un banco, si se pueden leer los nombres de sus clientes (y quizás sus contraseñas)...visiten la página www.kitetoa.com, que no se van a arrepentir ;-) (N.T: desgraciadamente está solamente en francés)

Printing – Imprimir.

Una única pregunta: ¿imprimirá con su máquina?. Si la respuesta es negativa Bastille-Linux desactiva el demonio lpd y elimina el bit SUID de lpr y lprm. =============

FTP.

Desde el punto de vista de la seguridad, FTP puede ser el origen de diversos problemas . Por ejemplo, al iniciar una conexión las contraseñas circulan en texto plano. Lo mismo sucede con los datos, lo cual es peligroso si los datos son confidenciales (datos médicos, financieros...)

Por otra parte, últimamente se han encontrado algunos agujeros de seguridad en wu-ftpd. Recordemos, que no es en absoluto necesario tener el servidor ejecutándose para hacer transferencias via FTP.

El archivo que controla el acceso al servidor FTP es /etc/ftpacces.

• Would you like to disable user privileges on the FTP daemon? - ¿Desea eliminar los privilegios de los usuarios para el demonio FTP? [N]
  Uno de los inconvenientes del FTP es que permite conexiones anónimas. Otro, es que permite "subir" archivos (es decir, enviar archivos al servidor). Numerosos ataques se aprovechan de estas vulnerabilidades. Por otra parte algunos problemas provienen del hecho de que las transacciones no son seguras (es decir, los datos no son cifrados).
• Would you like to disable anonymous download? - ¿Desea anular las descargas anónimas? [N]
  Esto impide las conexiones al servidor del tipo anonymous.
• 

Si te ha gustado el artículo inscribete al feed clicando en la imagen más abajo para tenerte siempre actualizado sobre los nuevos contenidos del blog: