Manual de Seguridad de Debian
Siguiente

Manual de Seguridad de Debian 3.19

Manual de Seguridad de Debian

Javier Fernández-Sanguino Peña

[email protected]

Aviso Legal

Copyright © 2012 The Debian Project

GNU General Public License Notice:

This work is free documentation: you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation, either version 2 of the License, or (at your option) any later version.

This work is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.

You should have received a copy of the GNU General Public License along with this program. If not, see http://www.gnu.org/licenses/.

Resumen

Este documento trata sobre la seguridad dentro del proyecto y del sistema operativo Debian. Comienza con el proceso de protección y fortalecimiento de la instalación de la distribución predeterminada de Debian GNU/Linux. También cubre algunas de las tareas comunes para configurar un entorno de red seguro utilizando Debian GNU/Linux, da información adicional sobre las herramientas de seguridad disponibles y habla sobre cómo el equipo de seguridad y auditoría hace valer la seguridad en Debian.

1. Introducción

1.1. Authors
1.2. Lugares donde encontrar este manual (diversos formatos)
1.3. Notas/Retroalimentación/Organización
1.4. Conocimiento previo
1.5. Things that need to be written (FIXME/TODO)
1.6. Credits and thanks!

2. Antes de empezar

2.1. ¿Para qué quiere su sistema?
2.2. Sea consciente de los problemas de seguridad general
2.3. ¿Cómo maneja Debian la seguridad?

3. Antes y durante la instalación

3.1. Elegir una contraseña para el BIOS

3.2. Partitioning the system

3.2.1. Elegir un esquema de particiones inteligente
3.2.2. Selecting the appropriate file systems

3.3. No se conecte a Internet hasta que no esté preparado

3.4. Establecer una contraseña para «root»

3.5. Ejecute el mínimo número de servicios requeridos

3.5.1. Deshabilitar servicios
3.5.2. Disabling inetd or its services

3.6. Install the minimum amount of software required

3.6.1. Removing Perl

3.7. Lea las listas de correo de seguridad de Debian

4. Después de la instalación

4.1. Subscribe to the Debian Security Announce mailing list

4.2. Ejecute una actualización de seguridad

4.2.1. Security update of libraries
4.2.2. Security update of the kernel

4.3. Change the BIOS (again)

4.4. Colocar una contraseña a lilo o grub

4.5. Disable root prompt on the initramfs

4.6. Eliminar el prompt de root del núcleo

4.7. Restricción del acceso a la consola

4.8. Restricting system reboots through the console

4.9. Restricting the use of the Magic SysRq key

4.10. Montando particiones de manera correcta

4.10.1. Setting /tmp noexec
4.10.2. Serie /usr leer-únicamente

4.11. Acceso seguro para los usuarios

4.11.1. Uso de la autentificación: PAM
4.11.2. Password security in PAM
4.11.3. Control de acceso de usuarios con PAM
4.11.4. Limites para los usuarios mediante PAM
4.11.5. Control de 'su' mediante PAM
4.11.6. Carpetas temporales en PAM
4.11.7. Configuración de aplicaciones genéricas de PAM
4.11.8. Limitación de recursos: archivo limits.conf
4.11.9. User login actions: edit /etc/login.defs
4.11.10. User login actions: edit /etc/pam.d/login
4.11.11. Restricting ftp: editing /etc/ftpusers
4.11.12. Uso de su
4.11.13. Uso de sudo
4.11.14. Prohibición administración remota
4.11.15. Restringiendo usuarios
4.11.16. Auditoría de usuarios
4.11.17. Repasando los perfiles del usuario
4.11.18. Setting users umasks
4.11.19. Limitar el acceso a los usuarios
4.11.20. Generación de contraseñas de usuario
4.11.21. Comprobación de contraseñas de usuarios
4.11.22. Sacando usuarios inactivos

4.12. Uso de tcpwrappers

4.13. La importancia de logs y alarmas

4.13.1. Uso y personalización de logcheck
4.13.2. Configurando el sitio donde las alertas son enviadas
4.13.3. Usar un servidor de registro
4.13.4. Permisos para el archivo de registro

4.14. Añadiendo parches al kernel

4.15. Protección contra desbordamiento de búfer

4.15.1. Parches contra el desbordamiento de búfer para el núcleo
4.15.2. Testing programs for overflows

4.16. Transferencia segura de archivos

4.17. Límites y control de los sistemas de archivos

4.17.1. Uso de Quotas
4.17.2. The ext2 filesystem specific attributes (chattr/lsattr)
4.17.3. Integridad de su sistema de archivos
4.17.4. Configuración de revisión de setuid

4.18. Conectividad de red segura

4.18.1. Características de la red configurando kernel
4.18.2. Configuring syncookies
4.18.3. Securing the network on boot-time
4.18.4. Configuarción de las características de los cortafuegos
4.18.5. Disabling weak-end hosts issues
4.18.6. Protección contra ataques ARP

4.19. Taking a snapshot of the system

4.20. Otras recomendaciones

4.20.1. No use software que dependa de svgalib

5. Asegurando los servicios que se ejecutan en su sistema

5.1. Asegurando ssh

5.1.1. Chrooting ssh
5.1.2. Ssh clients
5.1.3. Disallowing file transfers
5.1.4. Restricing access to file transfer only

5.2. Asegurando Squid

5.3. Asegurando FTP

5.4. Asegurando el acceso al sistema X Window

5.4.1. Revisar su administrador visual

5.5. Seguridad en el acceso de impresión (El asunto de lpd y lprng)

5.6. Reforzando el servidor de correo

5.6.1. Configuring a Nullmailer
5.6.2. Providing secure access to mailboxes
5.6.3. Recibiendo Correo de forma segura

5.7. Asegurando BIND

5.7.1. Bind configuration to avoid misuse
5.7.2. Changing BIND's user
5.7.3. Chrooting the name server

5.8. Asegurando Apache

5.8.1. Disabling users from publishing web contents
5.8.2. Permisos para el archivo de registro
5.8.3. Published web files

5.9. Asegurando finger

5.10. Cambio general de directorio raíz y paranoia suid

5.10.1. Making chrooted environments automatically

5.11. Texto claro general con el password paranoia

5.12. Incapacitar NIS

5.13. Securing RPC services

5.13.1. Desactivar los servicios RPC
5.13.2. Limites al acceso de servicios RPC

5.14. Añadir capacidades al cortafuegos

5.14.1. El sistema local corta fuegos
5.14.2. Usar otros corta fuegos para proteger otros sistemas
5.14.3. Configurando un cortafuegos

6. Fortalecimiento automático de sistemas Debian

6.1. Harden
6.2. Bastille Linux

7. Infrastructura de seguridad de Debian

7.1. Equipo de seguridad

7.2. Avisos de seguridad de Debian

7.2.1. Referencias cruzadas de vulnerabilidades
7.2.2. CVE compatibility

7.3. Security Tracker

7.4. Debian Security Build Infrastructure

7.4.1. Developer's guide to security updates

7.5. Firma de paquete en Debian

7.5.1. El esquema propuesto para revisiones de firma de paquete
7.5.2. Secure apt
7.5.3. Per distribution release check
7.5.4. Release check of non Debian sources
7.5.5. Alternativa firmar esquema por paquete

8. Herramientas de seguridad en Debian

8.1. Herramientas de evaluación de vulnerabilidades remotas.

8.2. Herramientas de escáner de red

8.3. Auditorías internas

8.4. Auditorías de código fuente

8.5. Redes virtuales privadas

8.5.1. Point to Point tunneling

8.6. Infraestructura de clave pública (ICP).

8.7. SSL Infrastructure

8.8. Herramientas antivirus

8.9. GPG agent

9. Developer's Best Practices for OS Security

9.1. Best practices for security review and design
9.2. Creating users and groups for software daemons

10. Antes del compromiso

10.1. Sistema seguro

10.1.1. Tracking security vulnerabilities
10.1.2. Continuously update the system
10.1.3. Avoid using the unstable branch
10.1.4. Security support for the testing branch
10.1.5. Automatic updates in a Debian GNU/Linux system

10.2. Do periodic integrity checks

10.3. Montar el descubrimiento de intrusión

10.3.1. Detección de intrusos basadas en la máquina
10.3.2. Detección de intrusos basadas en la máquina

10.4. Evitando rootkits

10.4.1. LKM - Loadable Kernel Modules (módulos cargables en el núcleo)
10.4.2. Detector de rootkits.

10.5. Ideas geniales/paranóicas — qué debe hacer

10.5.1. Construyendo un equipo trampa

11. After the compromise (incident response)

11.1. Comportamiento general
11.2. Realizar copia de seguridad del sistema
11.3. Contact your local CERT
11.4. Análisis forense
11.5. Analysis of malware

12. Preguntas Frecuentes

12.1. La seguridad en el sistema operativo Debian

12.1.1. ¿Es más seguro Debian que X?
12.1.2. My system is vulnerable! (Are you sure?)

12.2. Software específico

12.2.1. Proftpd es vulnerable a un ataque en el servicio Denial.
12.2.2. After installing portsentry, there are a lot of ports open.

12.3. Preguntas con respecto al equipo de seguridad Debian

A. Historia de revisiones

B. Appendix

B.1. El proceso de fortalecimiento es manejado paso a paso

B.2. Lista de chequeo de la configuración

B.3. Montar un IDS aislado

B.4. Setting up a bridge firewall

B.4.1. A bridge providing NAT and firewall capabilities
B.4.2. Añadir capacidades al cortafuegos
B.4.3. Basic IPtables rules

B.5. Sample script to change the default Bind installation.

B.6. Security update protected by a firewall

B.7. Chroot environment for SSH

B.7.1. Chrooting the ssh users
B.7.2. Chrooting the ssh server
B.7.3. Chroot environment for Apache
B.7.4. See also

SiguienteCapítulo 1. Introducción