Consejos para robustecer la configuración de servidores Linux

• Use ssh, scp o sftp para transferencias de archivos.
• Use GNUPg para cifrar y firmar datos y comunicaciones.
• Use filezilla como interfaz de transferencia.
• Use OpenVPN para conexiones remotas de Red Privada Virtual.

Comandos típicos:

# dpkg --list
# dpkg --info packageName
# apt-get remove packageName

1. Dejar sólo los servicios necesarios.

• Si un atacante logra acceder a apache, por ejemplo, también tendrá acceso a la base de datos (MySQL, PostgreSQL), al correo electrónico, etc.
• Cómo virtualizar con XEN (Debian Squeeze)

• apt-get update && apt-get upgrade

1. Sugiero SELinux por su Control de Acceso Mandatorio (MAC) flexible

1. Apoyarse en aplicaciones especializadas
2. Obtener información de expiración de una cuenta:

   chage -l userName
   

3. Ajustar mínimo y máximo de días para cambio de claves, aviso previo, expiración, etc.

   chage -M 60 -m 7 -W 7 userName
   

4. Restringir el uso de claves previas.
5. Usar faillog para detectar fallas de acceso a cuentas y bloquearlas

   faillog
   faillog -r -u userName
   

6. Verificar cuentas sin claves

   awk -F: '($2 == "") {print}' /etc/shadow
   

7. Buscar otras claves con privilegios de root

   awk -F: '($3 == "0") {print}' /etc/passwd
   

1. Usar sudo

1. Configurar la BIOS para deshabilitar el inicio desde USB, CD u otros dispositivos externos.
2. Usar clave para la modificación de la BIOS
3. Usar clave en el grub para iniciar con opciones distintas a la configurada por defecto

1. Buscar servicios de red con

   nmap -sT -O servidor.ejemplo.com
   

1. Revisar el archivo /etc/sysctl.conf

   # Turn on execshield
   kernel.exec-shield=1
   kernel.randomize_va_space=1
   # Enable IP spoofing protection
   net.ipv4.conf.all.rp_filter=1
   # Disable IP source routing
   net.ipv4.conf.all.accept_source_route=0
   # Ignoring broadcasts request
   net.ipv4.icmp_echo_ignore_broadcasts=1
   net.ipv4.icmp_ignore_bogus_error_messages=1
   # Make sure spoofed packets get logged
   net.ipv4.conf.all.log_martians = 1
   

1. Separar los sistemas de archivo /usr, /home, /tmp, /var, /var/tmp
2. Revisar /etc/fstab y configurar opciones noexec - evita ejecución de binarios, nodev - evita la configuración de dispositivos especiales, nosuid - evita el escalamiento de provilegios.
3. Usar quota - cuotas o límites de uso de disco.
4. Implementar previamente LVM para tener más flexibilidad.

# Buscar archivos con privilegios:
find / -perm +4000
# Buscar archivos con privilegios de grupo
find / -perm +2000
# Combinar los dos anteriores
find / \( -perm -4000 -o -perm -2000 \) -print
find / -path -prune -o -type f -perm +6000 -ls

1. Use kerberos

1. Si es posible, implemente y envíe los registros (logs) a un servidor especializado en el backoffice.
2. Use logwatch o logcheck
3. Use auditd para eventos de inicio/apagado del servidor, registrar los accesos a archivos especiales, uso de comandos de cambio de fecha y hora del sistema o archivos, registre los cambios a las cuentas y grupos.

1. Aunque es un servidor muy seguro y funciona bastante bien, aun es necesario robustecer su configuración.

1. Use snort como NIDS.
2. Use AIDE como HIDS.

1. SELinux es su amigo en este caso.
2. Puede usar TrueCrypt para cifrar.
3. Use POP3S o IMAPS.
4. Instale certificados para postfix.