Resultados para la búsqueda "samba"


Asegurar el sistema operativo con Bastille

Que es asegurar un Sistema Operativo?
Es la reconfiguración de un sistema operativo para ser más seguro, estable y resistente a los ataques.
Sistema minimalista y de mínimos privilegios.
Implica desactivar los programas innecesarios y auditar las configuraciones de los que quedan.
No implica la modificación a nivel de kernel del sistema.
Implica la auditoría de los permisos y/o listas de archivos de control de acceso y considerar si los permisos son apropiados o demasiado laxos.
Implica ajustar los parámetros de funcionamiento básico del sistema para ofrecer a los usuarios sólo los accesos que necesitan.

Ejemplos:
Eliminar procesos innecesarios.
Configuración de permisos de archivos.
Configuración de controles de acceso a la red.

Bastille es un programa de codigo abierto que facilita el fortalecimiento de un sistema Linux.

El programa deshabilita servicios y puertos que no se necesitan en el funcionamiento del sistema, instala cortafuegos y/o implementa accesos seguros.

Bastille es potente y puede ahorrar mucho tiempo a los administradores desde la configuracion de cada archivo hasta la programacion por medio del sistema operativo.Esta escrito para Red Hat y Mandrake pero con unos pequeños cambios puede funcionar en la mayoria de los entornos Linux.Antes de instalar Bastille en su sistema operativo asegurese de que su version soporta el programa.

Instalacion y funciones

Para instalar Bastille en Ubuntu 10.04 LTS tenemos que tener los paquetes de fuente necesarios para la instalacion del programa y nos los tenemos que descargar aparte porque aunque Bastille esta en el Centro de Software de Ubuntu los paquetes fuente necesarios no.Tenemos tambien la posibilidad de descargarla desde su propia página oficial.

 

 

Una vez instalado, ejecutaremos Bastille desde la línea de comandos. Para ello tenemos dos intefaces disponibles, una basada en Ncurses (bastille -x) y otra en Tk (bastille -c)

NOTA: Debemos de tener instalado Perl-Tk para su ejecución.

 


Junto a cada pregunta Bastille incluye una detallada explicación acerca del motivo de la cuestión y lo que se hará en función de la respuesta que se le de. Aún así a continuación se mostrarán las preguntas que realiza Bastille y se intentará dar una explicación sencilla:

 

1ª pregunta

Would you like to set more restrictive permissions on the administration utilities? [N] Útil en máquinas con múltiples cuentas de usuario. Hay utilidades que, en general, sólo son ejecutadas por el administrador de la máquina aunque por defecto los usuarios habituales tienen acceso a ellas, al menos a parte de sus funcionalidades (¿que necesidad tiene el usuario de ejecutar herramientas de administración como top o ifconfig?). Para evitar los posible problemas de seguridad a los que podría dar lugar esto Bastille puede cambiar los permisos de las mencionadas aplicaciones con el fin de asegurar que sólo el administrador pueda ejecutarlas. Si usted es el único usuario de la máquina no tiene sentido que habilite esta opción. Si cuenta con otros usuarios que acceden a ella (por ejemplo para subir fichero a sus carpetas web) sí que sería interesante añadir esta opción.

2ª pregunta

Would you like to disable SUID status for mount/umount? [Y] En general, los programas que tienen el atributo SUID son muy peligrosos ya que aunque pueden ser invocados por usuarios normales, se ejecutan con privilegios de superusuario. Esto no entrañaría ningún riesgo si estos programas se limitasen a hacer aquello para lo que fueron diseñados, el problema está en que es relativamente habitual que se descubran bugs en estas aplicaciones que permitan “engañarlas” para que hagan cosas con privilegios de superusuario. Si dice que śi en esta pregunta Bastille se asegurará de que el comando mount/umount sólo pueda ser ejecutado por aquellos que conozcan la contraseña de superusuario, reduciendo así la exposición al riesgo del equipo.

3ª pregunta

Would you like to disable SUID status for ping? [Y]  Similar al anterior.

4ª pregunta

Would you like to disable SUID status for at? [Y] Similar al anterior.

5ª pregunta

Would you like to enforce password aging? [Y] Habilita un tiempo de caducidad de las contraseñas de 180 días. Antes de que pase ese tiempo se pedirá al usuario que cambie su contraseña. Si se cumple el plazo y el usuario no ha cambiado su contraseña se procederá a bloquear su cuenta hasta que el administrador la vuelva a activar.

6ª pregunta

Should we disallow root login on tty’s 1-6? [N]: Las tty, son terminales accesibles desde las combinaciones CTRL+ALT+F1 hasta F7, por lo que Bastille nos ofrece deshabilitar el acceso root a dichas terminales para que sea conectado antes con un usuario normal con los mínimos privilegios posibles.

7ª pregunta

Would you like to password protect single-user-mode? [Y]: El modo mono-usuario sirve para arrancar el sistema de manera que única y exclusivamente pueda acceder el superusuario. Es un tipo de acceso que se utiliza en casos de emergencia, cuando por ejemplo no se recuerda la contraseña de root ya que no suele solicitarse autentificación, esto supone un arma de doble filo que puede permitir el acceso no autorizado al sistema. Si se activa esta opción, Bastille evitará esta situación solicitando contraseña de root al acceder por dicho modo.

8ª pregunta

Would you like to set a default-deny on TCP Wrappers and xinetd? [N]: inetd es un demonio que se inicia al principio de la secuencia de arranque en Linux, que tiene la función de escuchar varios puertos concretos y así cuando una conexión a un puerto es requerida, inicia el proceso asociado a dicho puerto. Como pueden ser las de servicios de FTP, POP, IMAP, etcétera, por lo que no es recomendable desactivarlo si se quiere utilizar dichos servicios.

9ª pregunta

Should Bastille ensure the telnet service does not run on this system? [y] El servicio de telnet está obsoleto y supone un riesgo grave para la seguridad del sistema al transmitir los datos en claro. Lo recomendable en la actualidad es usar SSH que permite acceder a la consola pero a través de un canal cifrado.

10ª pregunta

Should Bastille ensure inetd’s FTP service does not run on this system? [y] Lo dicho para el servicio de telnet es igualmente válido para el de FTP. En este caso lo mejor es sustituirlo por SCP o SFTP.

11ª pregunta

Would you like to display “Authorized Use” messages at log-in time? [Y] Esta opción habilitará un mensaje que aparecerá al comienzo de las sesiones de consola. Este mensaje advertirá de que se está accediendo a un sistema restringido y que cualquier acceso no permitido puede ser perseguido por vía legal. Posteriormente podremos editar dicho mensaje para adecuarlo convenientemente a lo que diga el Departamento Jurídico.

12ª pregunta

Who is responsible for granting authorization to use this machine?: Esta una pregunta dirigida a redactar el mensaje mencionado antes. En este caso se trata de identificar al responsable del equipo encargado de autorizar los diferentes accesos a él, en mi caso Petru Mircea Butnariu.

13ª pregunta

Would you like to put this limits on system resource usage? [N]: Permite establecer ciertos límites al número de procesos y memoria usados por usuario con el fin de evitar ataques de denegación de servicio. Si no se activa, posteriormente podemos configurarlo manualmente editando al archivo de configuración /etc/security/limits.conf

14ª pregunta

Should we restrict console access to a small group of users accounts? [N]: En algunas distribuciones, los usuarios que inician sesión por consola tienen algunos derechos especiales de acceso (como la posibilidad de montar la unidad de CD-ROM). Esta opción es mucho más flexible, restringiendo el acceso a la consola.

15ª pregunta

Would you like to add additional logging? [Y]: Configura el equipo para que incremente el número de fuentes de log y se añadan /var/log/kernel y /var/log/syslog siendo accesibles desde las terminales 7 y 8 (mediante Alt+F7 y F8 respectivamente)

16ª pregunta

Do you have a remote logging host? [N]: Si ya tiene un registro de host remoto, se puede configurar la máquina para acceder a ella.

17ª pregunta

Would you like to set up process accounting? [N]: Linux tiene la capacidad de registrar los comandos cuando se ejecutan y por quién. Esto es muy útil para tratar de analizar que es lo que realmente ha hecho un usuario concreto. El inconveniente es que los parámetros de comandos no se registran, pero con Bastille tenemos la posibilidad de activarlo teniendo en cuenta el uso excesivo de CPU y de disco. A menos que usted haya examinado cuidadosamente esta opción, es recomendable que seleccione que “No”.

18ª pregunta

Would you like to disable acpid and/or apmd? [Y]: Se utilizan para controlar la bateria y se utiliza casi exclusivamente para portatiles y notebooks.

19ª pregunta

Would you like to desactive NFS and Samba? [Y]: Se recomienda encarecidamente desactivar ambos servicios a menos de que lo uséis por motivos convencionales, ya que NFS tiene bastantes vulnerabilidades de seguridad y Samba (SMB) siendo un mejor sistema de archivos compartidos, todavía plantea graves preocupaciones de seguridad potencialmente indeseables. Ambos servicios se basan en texto claro, lo que significa que los datos transferidos pueden ser detectados.

20ª pregunta

Would you like to stop sendmail running in daemon mode? [Y]: Sendmail es un servicio encargado de procesar peticiones de correo, sean estas entrantes o salientes (recibir o enviar). De forma predeterminada sendmail es ejecutado en daemon mode, lo que significa que desde que se inicie el sistema hasta que se detenga, el servicio estará procesando peticiones de correo. Esto es un problema de seguridad porque muchos usuarios no usan este servicio y nisiquiera se han dado cuenta que se está ejecutando lo que hace que sea muy fácil para muchos hacer cosas como smtp spoofing. Si esta pregunta se responde afirmativamente, sendmail será configurado para no ejecutarse en daemon mode y a su vez se configurará en un cron que cada cierto tiempo se ejecutará para procesar las colas de peticiones relacionadas al envío de correo. Si tienes un mail server obviamente deberás contestar que “No” a esta pregunta.

21ª pregunta

Would you like to deactivate the Apache web server?[Y]: Debería desactivarse si el servicio (httpd) no es utilizado.

22ª pregunta

Would you like to disable printing? [N] Si el equipo no cuenta con una impresora, dejar el demonio de impresión activado es dejar una puerta abierta al desastre.

23ª pregunta

Would you like to install TMPDIR/TMP scripts? [N] Activar esta opción hará que Bastille instale unos scripts en las cuentas de los usuarios que configuren las variables TMPDIR y TMP de tal manera que utilicen directorios de ficheros temporales completamente individuales, en vez de que todos usen el /tmp lo que puede ser extremadamente peligroso en entornos multiusuarios.

24ª pregunta

Would you like to run the packet filtering script? [N] Activa el cortafuegos nativo de Linux. Activarlo es lo más seguro pero tenga en cuenta que tendrá que configurarlo localmente (si lo hace en remoto puede que se “corte las manos”) bien a través de la línea de comandos o bien mediante el GUI correspondiente. Así que tendrá que documentarse adecuadamente antes de activarlo.

25ª pregunta

Are you finished making changes to your Bastille configuration?: Y ¡por fin! hemos llegado al final de nuestra trayectoria. Si estamos seguros de la configuración respondemos afirmativamente.

 

Finalmente, seleccionamos Go Back and Change Configuration para aplicar los cambios, pero si tan solo quisiéramos guardar la configuración, seleccionaríamos Exit Without Saving.

Bastille no es la única herramienta de “hardening” para Linux, en todo caso, es la más sencilla. Otras herramientas conocidas son AppArmor, GRSecurity (Hardening a nivel del kernel), y por supuesto, hay distribuciones ya hechas que implementan muchas políticas de seguridad, normalmente tienen el mismo nombre de la distribución seguido de la palabra Hardened (ejemplo: Gentoo Hardened) y otra muy buena opción es Engarde Linux.

A continuacion

 

 

Y aqui con el Bastille activando/desactivando el telnet:

 

 

 

Referencias

  • http://bastille-linux.sourceforge.net :  Sitio oficial de Bastille-Linux
  • Bastille-Linux: A Walkthrough : en el sitio www.SecurityFocus.com. Este artículo está en inglés y fue escrito por Jay Beale, autor principal de la Bastille-Linux. Presenta al programa y su instalación.
  • http://www.sans.org : el sitio del grupo SANS (Jay Beale colabora con ellos).  Fuente inagotable de información sobre seguridad computacional.
  • http://www.securityfocus.com/frames/?content=/vdb/stats.html:  siempre en SecurityFocus, muestra un interesante estudio sobre los sistemas operativos y sus fallos. El primer lugar lo ocupa una familia de sistemas operativos muy conocidos y a continuación Linux
  • www.kitetoa.com : un sitio que se dedica a probar servidores web y a encontrar cosas interesantes.Solamente en Francés
  • http://www.ssh.com : sitio oficial del secured shell. ssh es de uso gratuito para evaluación, uso no comercial o para ámbitos universitarios
  • http://www.openssh.org : lo mismo que ssh … pero bajo licencia BSD

 

Tutorial realizado por bpmircea para Linux Zone

Webmin, administra tu servidor y más cosas con esta interfaz web

Webmin es una interfaz web escrita en Perl para administrar un servidor. Con esta herramienta se pueden configurar los permisos para Usuarios y Grupos o configurar el funcionamiento de nuestro Mysql Server, cuotas de espacio, servicios, archivos de configuración, apagado del equipo, etc.
Webmin tiene una estructura por módulos para administrar una amplia variedad de herramientas como Apache, PHP, MySQL, DNS, Samba, DHCP, etc, además de ser completamente configurables y de poder crear nuevos. Seguir leyendo »

AutoScan-Network, algo más que un escáner de redes locales

AutoScan Network es una aplicación que nos permite explorar y administrar una red de área local, controlando en tiempo real, los dispositivos y equipos conectados a la misma. Con ella podremos ver el sistema operativo que usan, IP, direcciones mac, puertos abiertos y servicios de red, además de impresoras, routers, etc.
Algo a destacar es que no se necesitan conocimientos previos para utilizar el programa, ya que no requiere de ninguna configuración especial para comenzar a escanear la red. Seguir leyendo »

Encontrados en Google Android 88 agujeros de seguridad críticos.

Coverity LogoLa compañía Coverity, especializada en integridad del software, ha presentado los resultados del estudio Coverity Scan 2010 Open Source Integrity Report, en el que se desvela una larga lista de fallos de seguridad encontrados en el kernel de Android 2.2, con nombre en clave ‘Froyo’.

La publicación del informe coincide con los últimos datos de mercado, donde Android sigue su ascenso imparable y ya disfruta del 44% en el segmento de Smartphone.

Seguir leyendo »

CentOS 5.5

Ayer fue anunciada la disponibilidad de la distribución CentOS (Community ENTerprise Operating System), en su versión 5.5 y para plataformas i386 y x86_64. Tenemos la posibilidad de descargar tanto la variante “Server” como cliente. En esta versión, encontraremos nuevas aplicaciones como freeradius, gPXE (sólo para 64 bits), gsl (GNU Scientific Library), postgresql84, samba3x, entre otras. Aquí encontraréis la info sobre los paquetes incluidos en la v. 5.5.  Aquí encontraréis el anuncio oficial con las sencillas instrucciones de instalación y actualización. En ese mismo link encontraréis también los torrent para descargas las imágenes .iso. Aquí encontraréis varios servidores de descarga directa.

Homesite: centos.org.

andLinux: GNU/Linux en sistemas Windows

andLinux es un completo sistema Ubuntu corriendo sobre sistemas Windows (2000, XP, 2003, Vista, W7; en sus versiones 32-bits), para lo que utiliza colinux. Afirman en el site del proyecto que, mediante andLinux, es posible “utilizar casi todas las aplicaciones” para sistemas basados en Linux en Windows. ¿Alguien echa en falta alguna aplicación GNU/Linux cuando usa sistemas Windows?

Seguir leyendo »

Backup en red mediante rsync

Como dicen muchos administradores de redes, la pregunta correcta no es si algún día puedes o no sufrir una pérdida de datos sino cuándo la vas a sufrir. Tarde o temprano todos comprobamos la veracidad de esta teoría. Por ello puede resultar interesante aprender a utilizar aplicaciones como rsync para realizar copias de seguridad en local, entre terminales dentro de una red lan o bien mediante conexión remota. Para este caso, y como leéis en el título, explicaremos el segundo de estos supuestos, siendo lo más habitual en pequeñas empresas o incluso en hogares que cuentan con un viejo pc destinado a éste y otros menesteres. Veréis que es realmente sencillo.

Seguir leyendo »

Script para instalar XBMC en GNU/Linux

Citando de wikipedia: “XBMC Media Center (también conocido como “XBox Media Center”) es un centro multimedia de entretenimiento multiplataforma bajo la licencia GNU/GPL. Inicialmente fue creado para la primera generación de Xbox consola de juegos y el equipo de desarrollo detrás de XBMC han portado el producto para que pueda correr de manera nativa en Linux, Mac OS X (Leopard, Tiger y Apple TV) y los sistemas operativos de Microsoft Windows“. Vía reddit encontramos el anuncio del creador de este script que nos facilitará la instalación de esta aplicación para convertir nuestro pc en un media center.

Seguir leyendo »

Página 1 de 3123
Linux Zone © 2007 - 2017