Resultados para la búsqueda "procesos"


Asegurar el sistema operativo con Bastille

Que es asegurar un Sistema Operativo?
Es la reconfiguración de un sistema operativo para ser más seguro, estable y resistente a los ataques.
Sistema minimalista y de mínimos privilegios.
Implica desactivar los programas innecesarios y auditar las configuraciones de los que quedan.
No implica la modificación a nivel de kernel del sistema.
Implica la auditoría de los permisos y/o listas de archivos de control de acceso y considerar si los permisos son apropiados o demasiado laxos.
Implica ajustar los parámetros de funcionamiento básico del sistema para ofrecer a los usuarios sólo los accesos que necesitan.

Ejemplos:
Eliminar procesos innecesarios.
Configuración de permisos de archivos.
Configuración de controles de acceso a la red.

Bastille es un programa de codigo abierto que facilita el fortalecimiento de un sistema Linux.

El programa deshabilita servicios y puertos que no se necesitan en el funcionamiento del sistema, instala cortafuegos y/o implementa accesos seguros.

Bastille es potente y puede ahorrar mucho tiempo a los administradores desde la configuracion de cada archivo hasta la programacion por medio del sistema operativo.Esta escrito para Red Hat y Mandrake pero con unos pequeños cambios puede funcionar en la mayoria de los entornos Linux.Antes de instalar Bastille en su sistema operativo asegurese de que su version soporta el programa.

Instalacion y funciones

Para instalar Bastille en Ubuntu 10.04 LTS tenemos que tener los paquetes de fuente necesarios para la instalacion del programa y nos los tenemos que descargar aparte porque aunque Bastille esta en el Centro de Software de Ubuntu los paquetes fuente necesarios no.Tenemos tambien la posibilidad de descargarla desde su propia página oficial.

 

 

Una vez instalado, ejecutaremos Bastille desde la línea de comandos. Para ello tenemos dos intefaces disponibles, una basada en Ncurses (bastille -x) y otra en Tk (bastille -c)

NOTA: Debemos de tener instalado Perl-Tk para su ejecución.

 


Junto a cada pregunta Bastille incluye una detallada explicación acerca del motivo de la cuestión y lo que se hará en función de la respuesta que se le de. Aún así a continuación se mostrarán las preguntas que realiza Bastille y se intentará dar una explicación sencilla:

 

1ª pregunta

Would you like to set more restrictive permissions on the administration utilities? [N] Útil en máquinas con múltiples cuentas de usuario. Hay utilidades que, en general, sólo son ejecutadas por el administrador de la máquina aunque por defecto los usuarios habituales tienen acceso a ellas, al menos a parte de sus funcionalidades (¿que necesidad tiene el usuario de ejecutar herramientas de administración como top o ifconfig?). Para evitar los posible problemas de seguridad a los que podría dar lugar esto Bastille puede cambiar los permisos de las mencionadas aplicaciones con el fin de asegurar que sólo el administrador pueda ejecutarlas. Si usted es el único usuario de la máquina no tiene sentido que habilite esta opción. Si cuenta con otros usuarios que acceden a ella (por ejemplo para subir fichero a sus carpetas web) sí que sería interesante añadir esta opción.

2ª pregunta

Would you like to disable SUID status for mount/umount? [Y] En general, los programas que tienen el atributo SUID son muy peligrosos ya que aunque pueden ser invocados por usuarios normales, se ejecutan con privilegios de superusuario. Esto no entrañaría ningún riesgo si estos programas se limitasen a hacer aquello para lo que fueron diseñados, el problema está en que es relativamente habitual que se descubran bugs en estas aplicaciones que permitan “engañarlas” para que hagan cosas con privilegios de superusuario. Si dice que śi en esta pregunta Bastille se asegurará de que el comando mount/umount sólo pueda ser ejecutado por aquellos que conozcan la contraseña de superusuario, reduciendo así la exposición al riesgo del equipo.

3ª pregunta

Would you like to disable SUID status for ping? [Y]  Similar al anterior.

4ª pregunta

Would you like to disable SUID status for at? [Y] Similar al anterior.

5ª pregunta

Would you like to enforce password aging? [Y] Habilita un tiempo de caducidad de las contraseñas de 180 días. Antes de que pase ese tiempo se pedirá al usuario que cambie su contraseña. Si se cumple el plazo y el usuario no ha cambiado su contraseña se procederá a bloquear su cuenta hasta que el administrador la vuelva a activar.

6ª pregunta

Should we disallow root login on tty’s 1-6? [N]: Las tty, son terminales accesibles desde las combinaciones CTRL+ALT+F1 hasta F7, por lo que Bastille nos ofrece deshabilitar el acceso root a dichas terminales para que sea conectado antes con un usuario normal con los mínimos privilegios posibles.

7ª pregunta

Would you like to password protect single-user-mode? [Y]: El modo mono-usuario sirve para arrancar el sistema de manera que única y exclusivamente pueda acceder el superusuario. Es un tipo de acceso que se utiliza en casos de emergencia, cuando por ejemplo no se recuerda la contraseña de root ya que no suele solicitarse autentificación, esto supone un arma de doble filo que puede permitir el acceso no autorizado al sistema. Si se activa esta opción, Bastille evitará esta situación solicitando contraseña de root al acceder por dicho modo.

8ª pregunta

Would you like to set a default-deny on TCP Wrappers and xinetd? [N]: inetd es un demonio que se inicia al principio de la secuencia de arranque en Linux, que tiene la función de escuchar varios puertos concretos y así cuando una conexión a un puerto es requerida, inicia el proceso asociado a dicho puerto. Como pueden ser las de servicios de FTP, POP, IMAP, etcétera, por lo que no es recomendable desactivarlo si se quiere utilizar dichos servicios.

9ª pregunta

Should Bastille ensure the telnet service does not run on this system? [y] El servicio de telnet está obsoleto y supone un riesgo grave para la seguridad del sistema al transmitir los datos en claro. Lo recomendable en la actualidad es usar SSH que permite acceder a la consola pero a través de un canal cifrado.

10ª pregunta

Should Bastille ensure inetd’s FTP service does not run on this system? [y] Lo dicho para el servicio de telnet es igualmente válido para el de FTP. En este caso lo mejor es sustituirlo por SCP o SFTP.

11ª pregunta

Would you like to display “Authorized Use” messages at log-in time? [Y] Esta opción habilitará un mensaje que aparecerá al comienzo de las sesiones de consola. Este mensaje advertirá de que se está accediendo a un sistema restringido y que cualquier acceso no permitido puede ser perseguido por vía legal. Posteriormente podremos editar dicho mensaje para adecuarlo convenientemente a lo que diga el Departamento Jurídico.

12ª pregunta

Who is responsible for granting authorization to use this machine?: Esta una pregunta dirigida a redactar el mensaje mencionado antes. En este caso se trata de identificar al responsable del equipo encargado de autorizar los diferentes accesos a él, en mi caso Petru Mircea Butnariu.

13ª pregunta

Would you like to put this limits on system resource usage? [N]: Permite establecer ciertos límites al número de procesos y memoria usados por usuario con el fin de evitar ataques de denegación de servicio. Si no se activa, posteriormente podemos configurarlo manualmente editando al archivo de configuración /etc/security/limits.conf

14ª pregunta

Should we restrict console access to a small group of users accounts? [N]: En algunas distribuciones, los usuarios que inician sesión por consola tienen algunos derechos especiales de acceso (como la posibilidad de montar la unidad de CD-ROM). Esta opción es mucho más flexible, restringiendo el acceso a la consola.

15ª pregunta

Would you like to add additional logging? [Y]: Configura el equipo para que incremente el número de fuentes de log y se añadan /var/log/kernel y /var/log/syslog siendo accesibles desde las terminales 7 y 8 (mediante Alt+F7 y F8 respectivamente)

16ª pregunta

Do you have a remote logging host? [N]: Si ya tiene un registro de host remoto, se puede configurar la máquina para acceder a ella.

17ª pregunta

Would you like to set up process accounting? [N]: Linux tiene la capacidad de registrar los comandos cuando se ejecutan y por quién. Esto es muy útil para tratar de analizar que es lo que realmente ha hecho un usuario concreto. El inconveniente es que los parámetros de comandos no se registran, pero con Bastille tenemos la posibilidad de activarlo teniendo en cuenta el uso excesivo de CPU y de disco. A menos que usted haya examinado cuidadosamente esta opción, es recomendable que seleccione que “No”.

18ª pregunta

Would you like to disable acpid and/or apmd? [Y]: Se utilizan para controlar la bateria y se utiliza casi exclusivamente para portatiles y notebooks.

19ª pregunta

Would you like to desactive NFS and Samba? [Y]: Se recomienda encarecidamente desactivar ambos servicios a menos de que lo uséis por motivos convencionales, ya que NFS tiene bastantes vulnerabilidades de seguridad y Samba (SMB) siendo un mejor sistema de archivos compartidos, todavía plantea graves preocupaciones de seguridad potencialmente indeseables. Ambos servicios se basan en texto claro, lo que significa que los datos transferidos pueden ser detectados.

20ª pregunta

Would you like to stop sendmail running in daemon mode? [Y]: Sendmail es un servicio encargado de procesar peticiones de correo, sean estas entrantes o salientes (recibir o enviar). De forma predeterminada sendmail es ejecutado en daemon mode, lo que significa que desde que se inicie el sistema hasta que se detenga, el servicio estará procesando peticiones de correo. Esto es un problema de seguridad porque muchos usuarios no usan este servicio y nisiquiera se han dado cuenta que se está ejecutando lo que hace que sea muy fácil para muchos hacer cosas como smtp spoofing. Si esta pregunta se responde afirmativamente, sendmail será configurado para no ejecutarse en daemon mode y a su vez se configurará en un cron que cada cierto tiempo se ejecutará para procesar las colas de peticiones relacionadas al envío de correo. Si tienes un mail server obviamente deberás contestar que “No” a esta pregunta.

21ª pregunta

Would you like to deactivate the Apache web server?[Y]: Debería desactivarse si el servicio (httpd) no es utilizado.

22ª pregunta

Would you like to disable printing? [N] Si el equipo no cuenta con una impresora, dejar el demonio de impresión activado es dejar una puerta abierta al desastre.

23ª pregunta

Would you like to install TMPDIR/TMP scripts? [N] Activar esta opción hará que Bastille instale unos scripts en las cuentas de los usuarios que configuren las variables TMPDIR y TMP de tal manera que utilicen directorios de ficheros temporales completamente individuales, en vez de que todos usen el /tmp lo que puede ser extremadamente peligroso en entornos multiusuarios.

24ª pregunta

Would you like to run the packet filtering script? [N] Activa el cortafuegos nativo de Linux. Activarlo es lo más seguro pero tenga en cuenta que tendrá que configurarlo localmente (si lo hace en remoto puede que se “corte las manos”) bien a través de la línea de comandos o bien mediante el GUI correspondiente. Así que tendrá que documentarse adecuadamente antes de activarlo.

25ª pregunta

Are you finished making changes to your Bastille configuration?: Y ¡por fin! hemos llegado al final de nuestra trayectoria. Si estamos seguros de la configuración respondemos afirmativamente.

 

Finalmente, seleccionamos Go Back and Change Configuration para aplicar los cambios, pero si tan solo quisiéramos guardar la configuración, seleccionaríamos Exit Without Saving.

Bastille no es la única herramienta de “hardening” para Linux, en todo caso, es la más sencilla. Otras herramientas conocidas son AppArmor, GRSecurity (Hardening a nivel del kernel), y por supuesto, hay distribuciones ya hechas que implementan muchas políticas de seguridad, normalmente tienen el mismo nombre de la distribución seguido de la palabra Hardened (ejemplo: Gentoo Hardened) y otra muy buena opción es Engarde Linux.

A continuacion

 

 

Y aqui con el Bastille activando/desactivando el telnet:

 

 

 

Referencias

  • http://bastille-linux.sourceforge.net :  Sitio oficial de Bastille-Linux
  • Bastille-Linux: A Walkthrough : en el sitio www.SecurityFocus.com. Este artículo está en inglés y fue escrito por Jay Beale, autor principal de la Bastille-Linux. Presenta al programa y su instalación.
  • http://www.sans.org : el sitio del grupo SANS (Jay Beale colabora con ellos).  Fuente inagotable de información sobre seguridad computacional.
  • http://www.securityfocus.com/frames/?content=/vdb/stats.html:  siempre en SecurityFocus, muestra un interesante estudio sobre los sistemas operativos y sus fallos. El primer lugar lo ocupa una familia de sistemas operativos muy conocidos y a continuación Linux
  • www.kitetoa.com : un sitio que se dedica a probar servidores web y a encontrar cosas interesantes.Solamente en Francés
  • http://www.ssh.com : sitio oficial del secured shell. ssh es de uso gratuito para evaluación, uso no comercial o para ámbitos universitarios
  • http://www.openssh.org : lo mismo que ssh … pero bajo licencia BSD

 

Tutorial realizado por bpmircea para Linux Zone

¿Gestionar archivos desde la terminal? Midnight Commander te facilita el trabajo

Sobre todo cuando empezamos en este mundillo, la terminal o la linea de comandos de los sistemas GNU/Linux se nos puede tornar en un quebradero de cabeza. Comandos que no sabemos utilizar y menos aún recordar, sintaxis extrañas o el típico… ¿que pasa ahora?, si yo lo he escrito bien.
Personalmente recomiendo y aconsejo que aprendáis al menos los comandos más comunes que siempre nos pueden sacar de un apuro y nos ayudara a conocer mejor como funciona nuestro sistema. Seguir leyendo »

Tip: Como saber quien está conectado a tu equipo

Whowatch es una herramienta UNIX, interactiva y fácil de usar, que muestra información sobre los usuarios que están conectados al equipo en tiempo real.
Con una interfaz muy sencilla y en modo texto, podemos ver que usuarios están conectados a nuestro sistema y de que forma. Además de los datos básicos como el nombre de usuario o los procesos del mismo, entre otros datos, también se indica el tipo de conexión (ssh, telnet, etc.). Además nos permite ver el árbol de procesos, navegar por él y enviar señales INIT y KILL. Seguir leyendo »

openSUSE 11.4

Tras la publicación, a finales del mes pasado, de su última release candidate,ya tenemos disponible para descarga la v. 11.4 de openSUSE. Incorpora esta versión la “última tecnología además de mantener la estabilidad (…) mejor escalabilidad, rendimiento y aceleración de los procesos de arranque”.

Seguir leyendo »

Migración Escritorio Software Libre

El camino lógico hacia la adopción de herramientas libres para el escritorio empieza por la planificación previa de los pasos a seguir. Sin embargo, en ocasiones, quien debe realizar esa planificación no tiene conocimientos del nuevo medio que va a encontrar. Con el ánimo de solventar éste y otros problemas, el equipo de AZLinux del Ayuntamiento de Zaragoza (España) ha elaborado un documento de 113 páginas que “ofrece una visión global de la información y procesos que se necesitan conocer para poder planificar y realizar una migración con éxito de los entornos de Escritorio a herramientas de Software Libre”.

Seguir leyendo »

Aprovechemos más el comando top

Los que seguís habitualmente Linux Zone habréis aprendido o (recordado) cómo llevar acciones rápidamente en la terminal de vuestro sistema GNU/Linux. En este caso, y siguiendo con el objetivo de familiarizar a todo linuxero con el uso de las órdenes en consola, vamos a abordar un sólo comando: top. Éste muestra el listado de procesos del sistema en tiempo real pero, con sus diferentes opciones, puede resultar más versátil y adaptable a los gustos del usuario. A continuación, comentamos algunas.

Seguir leyendo »

Debian GNU/Linux 6.0

¡Por fin! Debian 6.0 “Squeeze” ha sido anunciada oficialmente en debian.org. Tras 24 meses de desarrollo, Debian “se presenta por primera vez en dos sabores, ya que junto con Debian GNU/Linux, en esta versión se ha introducido Debian/kFreeBSD como una vista preliminar de la tecnología”. Tendremos la posibilidad de descargar esta distro con los escritorios KDE 4.4.5, Gnome 2.30, XFCE 4.6 y LXDE 0.5.0, por defecto.

Seguir leyendo »

Página 1 de 512345
Linux Zone © 2007 - 2014