A la hora de instalar un Servidor en Linux, el paso del tiempo me ha dado ciertas experiencia a la hora de ajustar politicas de seguridad. Muchas de ellas van a ayudar a que nuestro servidor se encuentre mas seguro.
A continuacion, comparto varias de las politicas que siempre mantengo en mente a la hora de configurar un servidor.
Siempre despues de instalar un servidor, aprovecho para hacer estos cambios.
1) Con el comando chkconfig, elimino los siguientes daemons:
ppp, bind9 ( a menos que sea un servidor DNS), lwresd, portmap, exim4, netatalk, samba, fam, nfs-common, atd, apache2.
E inclusive, sino son necesarios, los elimino
2) Me aseguro de que el siguiente parametro este en el archivo /etc/security/limits.conf
* hard core 0
3) Asegurarse tambien de que las siguientes lineas esten en el archivo /etc/pam.d/login
session required /lib/security/pam_limits.so
4) Comento la siguiente linea en el archivo /etc/inittab
ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
ejm:
#ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
5) Las claves deben de expirar cada 90 dias, esto se hace editando el siguiente parametro en /etc/logins.def
MASS_MAX_DAYS 90
6) Elimino las siguientes cuentas (/etc/passwd, /etc/shadow)
games, lp, news, uucp, proxy, irc, gnats, list
7)Cambio el shell por defecto de los siguientes usuarios a /bin/false
bin, daemon, mail, nobody, sync, sys
8) Elimino cualquier informacion que contengan los archivos
/etc/issue
/etc/issue.net
9)Todo los ejecutables que tenga el setuid y setgid, por defecto, ninguno puede ser escrito por el grupo "others"
find / -perm -4000 -exec ls -l {} \;
find / -perm -2000 -exec ls -l {} \;
Ejm
-rwsr-xr-x 1 root root 31640 2008-11-22 11:01 /usr/bin/passwd
||
9) Modifico el parametro a continuacion en el archivo /etc/login.defs:
LOGIN_RETRIES 3
( crear el archivo /var/log/faillog para grabar todo los intentos de acceso)
10) Editamos el archivo /etc/pam.d/common-password y nos aseguramos de que la opcion min=8 este en la configuracion de pam_unix
Estos tips van a ayudar de cierta manera a asegurar el servidor, mas adelante, colocare unas herramientas que van a ayudarnos a realizar tareas sobre el sistema y verificar la integridad del mismo.
Blog en espanol destinado a diferentes temas tecnicos principalmente en IT y Networking. Se desea cubrir Linux, DNS, DNSSEC, RPKI, BGP, Cisco, Programacion (Bash, Python, etc), Protocolos de Enrutamiento, Seguridad en Redes, VoIP.
Suscribirse a:
Enviar comentarios (Atom)
Una mejora práctica en el Transporte DNS sobre UDP en IPv6
Por Hugo Salgado y Alejandro Acosta Introducción y planteamiento del problema En el presente documento queremos discutir sobre un draft (bor...
-
Debido al crecimiento moderado que ha tenido el presente blog se me ocurrió añadir/integrar las estadisticas de google analytics a mi blog. ...
-
Introduccion: En algunas ocasiones es necesario "bajar" o deshabilitar iptables en nuestro Linux, el procedimiento depende de...
-
Saludos, Lo primero que debemos de hacer para quitar el stacking entre los switches es desconectar los cables Stack que los unen.... Es buen...
Excelente informacion la que tienes aqui, estoy recopilando informacion sobre la configuracion de un servidor ya que estoy montando uno para mapas pero la parte de seguridad me interesa bastante por que es un aspecto fundamental para el montaje de mi servidor. si tengo alguna duda la comentare. Gracias.
ResponderEliminarMuy buen post, a eso solo te falta agregarle poner las iptables para terminar de asegurarnos :) Excelente de Verdad :)
ResponderEliminarMuy acertado lo de iptables..., uso mucho firewall builder, buena idea. Gracias.
ResponderEliminar