Buscar Más buscado
Capitulos de este wiki
  1. 1 Cómo determinar qué asegurar y cómo asegurarlo
  2. 2 Instalación segura de Linux
  3. 3 Conceptos generales, servidores versus estaciones de trabajo, etc
  4. 4 Ficheros del sistema
  5. 5 Seguridad de Ficheros / Sistema de ficheros
  6. 6 Pam
  7. 7 Seguridad Física / de Arranque
  8. 8 Seguridad de contraseñas
  9. 9 Almacenamiento de Contraseñas
  10. 10 Seguridad basica de servicios de red
  11. 11 Ficheros basicos de configuración de red
  12. 12 TCP-IP y seguridad de redes
  13. 13 Seguridad PPP
  14. 14 Seguridad IP (IPSec)
  15. 15 Cifrado de servicios / datos
  16. 16 Rutado
  17. 17 Software de Proxy
  18. 18 Cortafuegos
  19. 19 Telnet
  20. 20 Ssh
  21. 21 Ftp
  22. 22 Http / https
  23. 23 Smtp
  24. 24 Pop
  25. 25 Imapd
  26. 26 Dns
  27. 27 Nntp
  28. 28 Dhcpd
  29. 29 Rsh, rexec, rcp
  30. 30 Nfsd
  31. 31 Tftp
  32. 32 Bootp
  33. 33 Snmp
  34. 34 Finger
  35. 35 Identd
  36. 36 Ntpd
  37. 37 Cvs
  38. 38 Rsync
  39. 39 Lpd
  40. 40 Samba
  41. 41 Servidores LDAP Linux
  42. 42 Sistema X Window
  43. 43 Conectividad SNA
  44. 44 Software de Autoridad de Certificación para Linux
  45. 45 El kernel de Linux
  46. 46 Parches de seguridad del kernel y del compilador
  47. 47 Herramientas administrativas
  48. 48 Gestión de Software
  49. 49 Herramientas de monitorización de Hosts
  50. 50 Ficheros de Log y otros métodos de monitorización
  51. 51 Limitación y monitorización de usuarios
  52. 52 Lista de comprobación para la conexión a Internet
  53. 53 Métodos de compartición de ficheros
  54. 54 Lectores de correo basados en WWW
  55. 55 Autentificación Basada en Red
  56. 56 Software de Listas de correo
  57. 57 Escaneo / herramientas de prueba de intrusos
  58. 58 Herramientas de escaneo y detección de intrusos
  59. 59 Sniffers de Paquetes
  60. 60 Normas de comportamiento / integridad de ficheros
  61. 61 Gestión de auditorías
  62. 62 Copias de Seguridad
  63. 63 Enfrentandose a los ataques
  64. 64 Ataques de Negación de Servicio
  65. 65 Ejemplos de ataques
  66. 66 Virus, Caballos de Troya y Gusanos
  67. 67 Distribuciones seguras de Linux
  68. 68 Información específica por Distribuidor / Vendedor
  69. 69 Información de contacto con vendedores
  70. 70 Programación segura
  71. 71 Apéndice A: Libros y Revistas
  72. 72 Apéndice B: Otra documentación de seguridad sobre Linux
  73. 73 Apéndice C: Documentación de seguridad en línea
  74. 74 Apéndice D: Sitios de seguridad en general
  75. 75 Apéndice E: Sitios de Linux en general

Guía de Seguridad del Administrador de Linux - Información específica por Distribuidor / Vendedor

68 - Información específica por Distribuidor / Vendedor

[editar]
Tutorial creado por Kurt Seifried. Extraido de: http://es.tldp.org/Manuales-LuCAS/GSAL/gsal-19991128-htm/
16 de Febrero de 2006
< anterior | 1 ... 66 67 68 69 70 71 72 ... 75 | siguiente >
 

Red Hat

Red Hat Linux 6.0

Durante la instalación de Red Hat 6.0, llegará un momento en que te deje implementar contraseñas con shadow, y contraseñas MD5, ambas están habilitadas por defecto, y es una buena idea dejarlas así. También se debería actualizar el kernel de la Red Hat 6.0, pues sufre de un molesto ataque de negación de servicio (basado en icmp).



SuSE

SuSE Linux 6.1

Uno de los empleados de SuSE (Marc Heuse) ha escrito unas cuantas utilidades interesantes para SuSE Linux, disponibles en: http://www.suse.de/~marc/ La primera se llama "Harden SuSE" y trata de eliminar objetos punzantes, reforzar los permisos de los ficheros, eliminar demonios, etcétera. El segundo, "SuSE security check" es un conjunto de scripts que comprueban el fichero de contraseñas por limpieza, una vez al mes saca un listado de todos los paquetes instalados, etc.



Caldera

Caldera OpenLinux 2.2

Caldera tiene una instalación gráfica para la 2.2 llamada "lizard", con un buen número de características interesantes. Durante la instalación, te forzará a crear una cuenta de usuario, lo cual con un poco de suerte ayudará a que la gente no haga login como root constantemente. De igual forma, hay una entrada para "sulogin" en el fichero /etc/inittab, lo cual quiere decir que no se puede escribir simplemente "linux single" en el prompt del boot de lilo y volcarte directamente a modo comandos como root, primero hay que introducir la contraseña del root. Sin embargo existen ciertos problemas con la instalación por defecto que será necesario corregir.

inetd.conf

El fichero inetd.conf es el que controla diferentes servicios relativos a Internet, y tiene algunos servicios activados que son peligrosos:

echo stream tcp nowait root internal

echo dgram udp wait root internal

discard stream tcp nowait root internal

discard dgram udp wait root internal

daytime stream tcp nowait root internal

daytime dgram udp wait root internal

chargen stream tcp nowait root internal

chargen dgram udp wait root internal

gopher stream tcp nowait root /usr/sbin/tcpd gn

shell stream tcp nowait root /usr/sbin/tcpd in.rshd

login stream tcp nowait root /usr/sbin/tcpd in.rlogind

exec stream tcp nowait root /usr/sbin/tcpd in.rexecd

talk dgram udp wait nobody.tty /usr/sbin/tcpd in.talkd

ntalk dgram udp wait nobody.tty /usr/sbin/tcpd in.ntalkd

uucp stream tcp nowait uucp /usr/sbin/tcpd /usr/sbin/uucico –l

Todos deberían estar comentados (situando un "#" al principio de cada línea), y reiniciando inetd con "killall -1 inetd"

portmap

Uno de los servicios que la gente preferirá desactivar es el portmap, que es utilizado por varios servicios, como el nfs, y tiene un historial de problemas. Desactivarlo en OpenLinux es algo penoso, puesto que se arranca desde el mismo script que inicia el inetd. Se puede eliminar el paquete portmap ("rpm -e portmap") o se puede ir al /etc/rc.d/init.d/inet y editar lo siguiente:

NAME1=inetd

DAEMON1=/usr/sbin/$NAME1

NAME2=rpc.portmap

DAEMON2=/usr/sbin/$NAME2

por:

NAME1=inetd

DAEMON1=/usr/sbin/$NAME1

#NAME2=rpc.portmap

#DAEMON2=/usr/sbin/$NAME2

y:

# Bail out if neither is present

[ -x $DAEMON1 ] || [ -x $DAEMON2 ] || exit 2

por:

# Bail out if neither is present

[ -x $DAEMON1 ] || exit 2

y:

[ -x $DAEMON1 ] && ssd -S -n $NAME1 -x $DAEMON1 -- $INETD_OPTIONS

[ -x $DAEMON2 ] && ssd -S -n $NAME2 -x $DAEMON2 -- $PORTMAP_OPTIONS

por:

[ -x $DAEMON1 ] && ssd -S -n $NAME1 -x $DAEMON1 -- $INETD_OPTIONS

# [ -x $DAEMON2 ] && ssd -S -n $NAME2 -x $DAEMON2 -- $PORTMAP_OPTIONS

y después comentar por completo lo siguiente:

NFS=" "

cat /etc/mtab | while read dev mpoint type foo; do

[ "$type" = "nfs" ] && NFS="$mpoint $NFS"

done

if [ -n "$NFS" ]; then

echo -n "Unmounting NFS filesystems: "

POLICY=I # Ignore 'device busy' during shutdown

[ "$PROBABLY" != "halting" ] && POLICY=1 # exit on 'busy'

for mpoint in $NFS; do

SVIrun S $POLICY "$mpoint" "!$mpoint" \

umount $mpoint

done

echo "."

fi

amd

Otro servicio que se instala por defecto en OpenLinux 2.2 es el demonio Auto Mount (amd). Permite definir directorios y dispositivos en lugares nfs, de forma que se puede definir /auto/cdrom como /dev/cdrom, de forma que cuando se haga un "cd /auto/cdrom" el sistema monte automáticamente el /dev/cdrom como /auto/cdrom con las opciones adecuadas (sólo-lectura, etc.). El servicio amd utiliza un número de puerto semi-aleatorio, normalmente en el rango 600-800. Por supuesto que este servicio es muy útil en una estación de trabajo, les ahorra a los usuarios el tener que montar manualmente cada dispositivo removible cada vez que quieran utilizarlo (siendo el cdrom y el disquette los más habituales). Sin embargo no lo recomendaría para servidores, debido al historial de problemas que ha tenido el amd. Desactivarlo es sencillo, sencillamente hay que eliminar los enlaces simbólicos de "S30amd" a "K70amd".

mv /etc/rc.d/rc3.d/S30amd /etc/rc.d/rc3.d/K70amd

mv /etc/rc.d/rc5.d/S30amd /etc/rc.d/rc5.d/K70amd

SSH

Los rpm's del SSH no se encuentran disponibles para OpenLinux 2.2 (quiero decir, no he encontrado ninguno). Desgraciadamente, los rpm's de Red Hat fallan, y los rpm's fuente también fallan al compilarse, el SSH se compila limpiamente desde el código fuente, sin problemas. El código fuente se puede obtener de: ftp://ftp.replay.com/pub/replay/crypto/SSH/ . Para empezar con sshd como mínimo es necesario ejecutar el "/usr/local/bin/sshd" al arrancar, buscará sus ficheros de configuración dentro de /etc y debería iniciarse sin problemas.

Novell

Todavía no he probado el software de Novell, desconozco si existe alguna incidencia.

Actualizaciones

Las actualizaciones de Caldera OpenLinux 2.2 se encuentran disponibles en:

ftp://ftp.calderasystems.com/pub/openlinux/2.2/current/RPMS/



TurboLinux

TurboLinux 3.6

El TurboLinux tiene una instalación muy parecida a la de Red Hat, te va guiando a través de consolas basadas en texto y va haciendo preguntas, después el sistema instala los paquetes y hay que configurar algunas cosas (como el X). Existen un par de pequeñas incidencias con TurboLinux que habrá que "reparar", y existen varias utilidades que vienen de forma standard con TurboLinux, que ya pudieran venir incluidas en las otras distribuciones (como sudo).

inetd.conf

El inetd.conf de TurboLinux viene de una forma relativamente adecuada, sin embargo ciertos servicios como rsh y rlogin vienen habilitados por defecto, recomendaría desactivarlos.

shell stream tcp nowait root /usr/sbin/tcpd in.rshd

login stream tcp nowait root /usr/sbin/tcpd in.rlogind

talk dgram udp wait nobody.tty /usr/sbin/tcpd in.talkd

ntalk dgram udp wait nobody.tty /usr/sbin/tcpd in.ntalkd

Todos estos deberían estar comentados (colocando un "#" delante de cada línea), y reiniciando el inetd con "killall -1 inetd"

inittab

El TurboLinux (como la mayoría de las distribuciones) te deja arrancar en modo monousuario, sin pedir contraseña para acceder al sistema como root. Habrá que poner la palabra "restricted" en lilo.conf y añadir una contraseña para evitar que la gente arranque el sistema en modo monousuario sin contraseña.

ipchains

El ipchains no viene con el CD de instalación, se encuentra en el CD que lo acompaña, o en el sitio ftp: ftp://ftp.turbolinux.com/pub/TurboLinux/tlw-3.6-companion/TurboContrib/RPMS/. Por supuesto que recomendaría instalar el ipchains y filtrar con el cortafuegos la máquina.

SSH

Los rpm's del SSH no se encuentran disponibles para TurboLinux 3.6. Se aplica lo mismo que para el párrafo de Red Hat.

Tripwire

Una cosa que viene incluida en el CD que acompaña a TurboLinux es una copia del Tripwire, recomendaría utilizarlo. No estoy seguro del tipo de licencia que tiene (p. ej., si es gratuita exclusivamente para uso no comercial, o una licencia, o qué). Parece ser la versión 1.3 del Tripwire, de modo que no es comercial.

El CD acompañante

Como ya se ha dicho anteriormente, el CD acompañante contiene un montón de utilidades extra (como Tripwire), al igual que:

Amanda (un interesante programa de copias de seguridad)

ipmasqadm (utilizado para hacer redireccionamiento de puertos a nivel de kernel)

ipchains (utilizado para configurar el cortafuegos)

ProFTPD (un servidor ftp mejor que el WuFTPD)

Squid (un servidor ftp y proxy www)

Tripwire (crea valores de checksum de los ficheros y te advierte si cambian)

Actualizaciones

Las actualizaciones del TurboLinux 3.6 (Miami) se encuentran disponibles en: ftp://ftp.turbolinux.com/pub/TurboLinux/turbolinux-updates/3.6/



Debian

Debian 2.1

Aún sin evaluar.



Slackware

Slackware Linux 4.0

Aún sin evaluar.
[editar]
< anterior | 1 ... 66 67 68 69 70 71 72 ... 75 | siguiente >

Opinar
8 opiniones

Tecnico.

Super completo, me va a tomar un tiempo repasar cada apartado. Me tome el trabajo de re-edicion y transformacion a documento de open-office (extension odt) de esta forma lo tengo en mi server y lo puedo usar con consultas en todo momento. Muchas gracias. Ahora tengo lectura por un buen rato. Bye bye.
Pdf?.

Hola, es muy interesante, habéis trabajado mucho y es una lástima que tenga que guardar todas las páginas en caché o en otro formato. Por favor, ¿podéis subir o enviar una versión actualizada de este pedazo de manual en pdf?

gracias mil.
Aprende mas.

Bueno creo que puede ser mejor.
Identificarse con los buenos comportamientos.

La verdad, siempre en la cultura debemos de tener unas normas de conducta para cumplirlas así pues, este recurso ayudan a informarnos a cerca de lo q esta bien o mal y llevar a cabo todas esas reglas q solo implementan la regulación de el comportamiento de las actitudes.
Buscando solucion.

Es oportuno para abocar conocimiento sobre linux, tenemos linux en cabinas con varios dias fuera de servicio porque se desconfiguro, pide clave de mantenimiento y no lo sabemos. Eperamos este recurso ayude.
1 2 | siguiente >

Tutoriales relacionados con 'Guía de Seguridad del Administrador de Linux'

Guía de Seguridad del Administrador de Linux
Esta guía no es un documento general de seguridad. Esta guía está específicamente orientada a... Más »
Spanish Linux
Esta es la primerísima edición del Linux en Castellano COMO. La audiencia a la que... Más »
El Sonido en LiNUX
Este documento describe el soporte de sonido para Linux. Enumera el hardware de sonido soportado,... Más »
Usenet bajo Linux
Este documento describe la puesta en marcha y mantenimiento de noticias de Usenet bajo Linux.... Más »
Cortafuegos
El objetivo de este documento es enseñar las bases de la instalación de un cortafuegos... Más »

Anuncios Google

Autor y licencia de 'Guía de Seguridad del Administrador de Linux'


Tutorial de Kurt Seifried. Extraido de: http://es.tldp.org/Manuales-LuCAS/GSAL/gsal-19991128-htm/ CopyLeft
Este contenido ha sido recopilado por el equipo de Wikilearning. Todo el contenido recopilado se ha obtenido respetando y comunicando en nuestro site la licencia de cada fuente.
Wikilearning tiene permiso expreso por escrito de los autores para publicar los contenidos que ha extraído de otras webs, incluyendo su uso comercial.