Escolar Documentos
Profissional Documentos
Cultura Documentos
Eslared 2006
PRACTICA DE LABORATORIO.
El objetivo de esta práctica es dar a conocer los mecanismos mínimos para asegurar un
sistema Linux. La practica esta dividida en dos secciones, la primera consiste en una serie
de recomendaciones generales. La segunda es el desarrollo de la práctica de laboratorio.
Recomendaciones generales
Los primeros pasos para asegurar su sistema Linux son:
1. Verifique las fuentes, es decir verifique que los medio que va ha usar para la
instalación no estén corruptos. Esto se puede realizar por medio del md5sum, debe
tomar en cuenta que el archivo que use para verificar estos hash debe estar
firmado.
2. Si puede instale su SO con la maquina desconectada de la red o en un entrono que
considere seguro.
3. Dimensione las particiones de un tamaño adecuado a sus necesidades.
4. Instale solo lo que necesite.
5. Si la distribución que esta instalando posee un firewall instálelo
6. Utilice un password para root con la complejidad apropiada
7. Utilice el shadow para sus contraseñas
8. No instale paquetes de los cuales duda de su procedencia
9. No permita en lo posible el acceso como root en los terminales
10. Evite el uso de los comandos “r” (Ej. rlogin, rsh.)
11. No permita que se ejecuten servicios que no este utilizando.
12. Revise los permisos y la propiedad de los archivos de configuración del sistema y
los servicios.
13. Mantenga actualizado los parches de su sistema.
Prácticas de Laboratorio
Practicas básicas de de seguridad en Linux
Desarrollo Práctico
a. Una vez instalado su sistema debe comenzar por revisar que puertos están abiertos,
para ello utilice el nmap (o el nmapfe) con esto se podrá determinar que servicios de
red se están ejecutando:
# nmap localhost
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-06-04 11:20 VET
Interesting ports on localhost.localdomain (127.0.0.1):
(The 1657 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
22/tcp open ssh
25/tcp open smtp
80/tcp open http
631/tcp open ipp
Nmap finished: 1 IP address (1 host up) scanned in 100.278 seconds
b. Para determinar que otros servicios están corriendo primero debe saber que nivel de
ejecución (runlevel) esta utilizando, para esto utilice el comando:
# runlevel
N2
Y luego:
# ls /etc/rc2.d/
S05vbesave S11klogd S14ppp S20apmd S20makedev S20rsync S25mdadm S89cron
S10acpid S12dbus S19cupsys S20exim4 S20pcmcia S20ssh S89anacron S91apache S99fetchmail
S10sysklogd S13gdm S19hplip S20hotkey-setup S20powernowd S25bluez-utils S89atd S98usplash
S99rmnologin
c. Para impedir que los servicios que no se están utilizando se ejecuten utilice el
comando update-rc.d (Ejemplo):
/etc/rc1.d/K20apache
/etc/rc2.d/S20apache
/etc/rc3.d/S20apache
/etc/rc4.d/S20apache
/etc/rc5.d/S20apache
/etc/rc6.d/K20apache
d. Una vez que se impida el arranque de estos servicios hay que detenerlos (Ejemplo):
# /etc/init.d/apache stop
Stopping web server: apache.
e. Una vez realizado este paso revise nuevamente su maquina con el nmap y revise su
directorio /etc/rc2.d/. Recuerde que solo debe dejar activos los servicios que va ha
utilizar.
f. ¿Que sucede si usted desea determinar que demonio esta escuchando conexiones de
red por un determinado puerto?. Discuta su respuesta.
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
_______________________________________________________
Para configura las reglas de iptables debe usa políticas por omisión tales como:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Prácticas de Laboratorio
Practicas básicas de de seguridad en Linux
# sysctl –p
Prácticas de Laboratorio
Practicas básicas de de seguridad en Linux
Siga las instrucciones y coloque las contraseñas que se le soliciten. Importante Las
contraseñas Tripwire deben de ser diferentes de las de root o de cualquier otra
contraseña del sistema. Use contraseñas únicas tanto para la clave del sitio como
para la local.
b. Una vez realizado el paso anterior hay que inicializar la base de datos del tripwire,
mediante el comando:
# tripwire --init
c. Una vez inicializada la base de datos ejecute una revisión del sistema mediante el
comando
# tripwire --check
Esta revisión debe hacerse periódicamente por tanto por omisión por tanto tripwire
añade un script llamado tripwire-check al directorio /etc/cron.daily/. Este script
ejecuta automáticamente un control de integridad una vez al día.
d. Para visualizar los reportes del tripwire ejecute los siguientes comandos:
# cd /var/lib/tripwire/report/
# ls
tumaquina-2006XXYY-040213.twr
=======================================================================
Prácticas de Laboratorio
Practicas básicas de de seguridad en Linux
Report Summary:
=======================================================================
Host name: tumaquina
Host IP address: 10.0.0.1
Host ID: None
Policy file used: /etc/tripwire/tw.pol
Configuration file used: /etc/tripwire/tw.cfg
Database file used: /var/lib/tripwire/some.host.com.twd
Command line used: /usr/sbin/tripwire --check
=======================================================================
Rule Summary:
=======================================================================
-----------------------------------------------------------------------
Section: Unix File System
-----------------------------------------------------------------------
Rule Name Severity Level Added Removed Modified
--------- -------------- ----- ------- --------
Invariant Directories 69 0 0 0
Temporary directories 33 0 0 0
* Tripwire Data Files 100 1 0 0
Critical devices 100 0 0 0
User binaries 69 0 0 0
Tripwire Binaries 100 0 0 0