[RFR] debian-doc://ddp/manuals.sgml/securing-howto/en/intro.sgml
Envío adjunto para revisión el documento del asunto, basado en la versión 1.38
del documento original en inglés. Al final me decidí por traducir el documento
completo, pues encontré complicado hacer únicamente una revisión a la
traducción anterior (muy desactualizada) al no tener claro en que documento
original en inglés basarla.
Un saludo
--
Manuel Parrilla Sánchez
Usuario de Linux Registrado nº 403863 (http://counter.li.org/)
Debian GNU/Linux
<!-- CVS revision of original english document "1.38" -->
<chapt>Introducción
<p>Una de las cosas más difíciles cuando se escriben documentos de seguridad es
que cada caso es único. Dos cosas a las que se debe prestar atención son la
amenaza del entorno y las necesidades de seguridad, tanto de cada parte
individual como del servidor o de la red. Por ejemplo, las necesidades de
seguridad de un usuario doméstico son completamente diferentes a las de una red
de un banco. Mientras que un usuario doméstico necesita defenderse contra
crackers inexpertos «<em>script-kiddie</em>», un banco tiene que preocuparse de
ataques dirigidos. Además, el banco tiene que proteger los datos de sus clientes
con precisión milimétrica. En resumen, todo usuario debe considerar el
equilibrio entre utilización y seguridad/paranoia.
<!-- Is this metaphor really appropriate? Sounds like rounding errors to me,
era -->
<p>Observe que este manual solamente trata asuntos relacionados con el
software. Ni el mejor software del mundo podría protegerlo si alguien tuviera
acceso físico a la máquina. Usted puede colocarla bajo su mesa o puede ponerla
en un búnker con un ejército que la proteja. Sin embargo, un ordenador de
escritorio puede ser muchísimo más seguro (desde el punto de vista del software)
que un sistema protegido físicamente si el primero de ellos se configura de la
manera apropiada y el segundo está lleno de agujeros de seguridad. Lógicamente,
usted debe considerar ambos aspectos.
<p>Este documento únicamente da una visión general de lo que usted puede hacer
para incrementar la seguridad de su sistema Debian GNU/Linux. Si ha leído otros
documentos relativos a la seguridad en Linux, encontrará que describen problemas
comunes, los cuales pueden solaparse con este documento. Sin embargo este
documento no pretende ser la única fuente de información que usted use, sólo
intenta adaptar esa misma información para su aplicación sobre un sistema Debian
GNU/Linux. La forma de trabajar de las distintas distribuciones es diferente (el
ejemplo habitual es la forma de arrancar y parar los demonios del sistema); aquí
encontrará material apropiado para los procedimientos y herramientas de
Debian.</p>
<!--
# Does this approximate the intent of the original author? (FIXME: check)
# Original text said: "you will find here [sic] a different approach,
# using Debian's tools, regarding security." era
-->
<!-- IMHO yes, jfs -->
<sect id="authors">Autores
<p>El responsable actual de este documento es <url name="Javier
Fernández-Sanguino Peña" id="mailto:jfs@debian.org";>. Por favor mándele
cualquier comentario, añadido o sugerencia, y él considerará su inclusión en
futuras publicaciones de este manual.
<p>Igualmente, si detecta alguna errata en la traducción de este manual,
contacte con él.
<p>Este manual lo inició <url name="Alexander Reelsen" id="mailto:ar@rhwd.de";>
como un <em>CÓMO</em>. Tras publicarse en Internet, <url name=
"Javier Fernández-Sanguino Peña" id="mailto:jfs@debian.org";> lo incorporó
al <url name="Proyecto de Documentación de Debian" id="http://www.debian.org/doc";>.
Un número de personas participó en este manual (todas las contribuciones están
recogidas en el Registro de cambios) pero los siguientes merecen una mención
especial puesto que aportaron contribuciones significativas (capítulos,
secciones o apéndices completos):
<list>
<item>Stefano Canepa
<item>Era Eriksson
<item>Carlo Perassi
<item>Alexandre Ratti
<item>Jaime Robles
<item>Yotam Rubin
<item>Frederic Schutz
<item>Pedro Zorzenon Neto
<item>Oohara Yuuma
<item>Davor Ocelic
</list>
<sect>Dónde obtener el manual (y formatos disponibles)
<p>
Usted puede descargar o visitar la última versión del manual de seguridad de
Debian del <url name="Proyecto de documentación de Debian"
id="http://www.debian.org/doc/manuals/securing-debian-howto/";>.
Si está leyendo una copia desde otro sitio, por favor, compruebe la copia
principal en caso de que ésta proporcione nueva información. Si está leyendo una
traducción, revise la versión a la que se refiera la traducción y la última
versión disponible. Si encuentra que la versión es atrasada considere, por
favor, utilizar la copia original o revisar el «<ref id="changelog">» para ver
qué es lo que ha cambiado.
<!-- Note to translators: adjust the en.txt to XX.txt where XX is your
language code -->
<p>Si usted quiere una copia completa del manual puede descargar la <url
id="http://www.debian.org/doc/manuals/securing-debian-howto/securing-debian-howto.es.txt";
name="versión de texto">
o la <url id="http://www.debian.org/doc/manuals/securing-debian-howto/securing-debian-howto.es.pdf";
name="versión PDF"> desde el servidor del proyecto de documentación de
Debian. Estas versiones podrían resultarle más útiles si pretende copiar el
documento en un dispositivo portátil para su lectura sin conexión o si quiere
imprimirlo. Le advertimos que el manual tiene más de doscientas páginas y que
algunos de los fragmentos de código, debido a las herramientas de formateo
utilizadas, no quedan bien encapsulados en la versión PDF pudiendo no imprimirse
de forma completa.
<p>El documento está disponible también en formatos de texto, html y PDF en el
paquete <url id="http://packages.debian.org/harden-doc";
name="harden-doc">. Observe, sin embargo, que el paquete puede no estar
completamente actualizado con respecto al documento disponible en el servidor de
Debian (pero siempre podrá utilizar el paquete fuente para compilarse una nueva
versión actualizada).
<p>También puede comprobar los cambios que se hayan producido en el documento
revisando sus anotaciones de control de versión en su <url name="servidor de
CVS" id="http://cvs.debian.org/ddp/manuals.sgml/securing-howto/?cvsroot=debian-doc";>.
<sect>Notas de Organización/Retroalimentación
<p>
Ahora, la parte oficial. De momento yo (Alexander Reelsen) escribí la mayor
parte de los párrafos de este manual, pero en mi opinión esto no debería
permanecer así. He crecido y vivido con el software libre, lo uso diariamente y
supongo que ustedes también. Animo a todo el mundo a enviarme todo tipo de
retroalimentación, consejos, añadidos o cualquier otra sugerencia que
pudieran tener.
<p>
Si piensa que puede mejorar cierta sección o párrafo, entonces escriba
al responsable del documento y se le agradecerá. Especialmente si encuentra una
sección marcada como ARRÉGLAME, lo que significa que los autores no han tenido
el tiempo o los conocimientos necesarios sobre el tema para hacerlo, mándeles un
correo inmediatamente.
<p>
Debido al tema del que trata este manual, está claro que es muy importante
mantenerlo actualizado y usted puede hacer su parte. Por favor, contribuya.
<sect>Conocimiento previo
<p>
La instalación de Debian GNU/Linux no es muy difícil y usted mismo debería haber
sido capaz de realizarla. Si ya tiene algún conocimiento sobre Linux u otro Unix y
está familiarizado con la seguridad básica, le será más fácil entender este
manual, dado que este documento no puede explicar cada pequeño detalle o
característica (de lo contrario hubiera sido un libro en lugar de un manual). Si
usted no está familiarizado, podría querer echar un vistazo en <ref
id="references"> para saber dónde encontrar información más detallada.
<sect>Cosas que necesitan escribirse (ARRÉGLAME/PORHACER)
<p>Esta sección describe todas las cosas que necesitan arreglos en este
manual. Algunos párrafos incluyen las etiquetas <em>ARRÉGLAME</em> o
<em>PORHACER</em>, describiendo qué contenido falta (o qué tipo de trabajo se
necesita hacer). El propósito de esta sección es describir todas las cosas que
podrían incluirse en este Manual en el futuro, o las mejoras que serían
necesarias (o que sería interesante añadir).
<p>Si cree que puede proporcionar ayuda, bien contribuyendo al contenido, o
reparando elementos de esta lista, contacte con el autor principal (<ref
id="authors">).
<list>
<item>Ampliar la información sobre respuesta ante incidentes, quizá añadiendo
algunas ideas derivadas de la Guía de seguridad de Red Hat
<url
id="http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/security-guide/ch-response.html";
name="Capítulo sobre respuesta ante incidentes">.
<item>Escribir sobre herramientas de supervisión remota (para comprobar la
disponibilidad del sistema) tales como <package>monit</package>,
<package>daemontools</package> y <package>mon</package>. Vea <url
id="http://linux.oreillynet.com/pub/a/linux/2002/05/09/sysadminguide.html";>.
<item>Considerar la escritura de una sección sobre cómo construir
aparatos de red basados en Debian (con información tal como el sistema base,
<package>equivs</package> y FAI).
<item>Buscar en
<url id="http://www.giac.org/practical/gsec/Chris_Koutras_GSEC.pdf";>
información relevante que no se haya tratado aquí.
<item>Añadir información sobre cómo configurar un portátil con Debian
<url id="http://www.giac.org/practical/gcux/Stephanie_Thomas_GCUX.pdf";>
<item>Añadir información sobre cómo configurar un cortafuegos utilizando
Debian GNU/Linux. La sección relativa a cortafuegos está actualmente
orientada hacia sistemas individuales (sin proteger a otros...). Hablar también
sobre cómo probar la configuración.
<item>Añadir información sobre cómo configurar un cortafuegos proxy con
Debian GNU/Linux, especificando qué paquetes proporcionan servicios proxy
(como <package>xfwp</package>,
<package>ftp-proxy</package>, <package>redir</package>,
<package>smtpd</package>,
<package>dnrd</package>, <package>jftpgw</package>, <package>oops</package>,
<package>pdnsd</package>, <package>perdition</package>,
<package>transproxy</package>, <package>tsocks</package>). Debería dirigirse
al manual para cualquier otra información. Observe que
<package>zorp</package> está ahora disponible como un paquete de Debian y
<em>es</em> un cortafuegos proxy (también proporcionan versiones anteriores de
los paquetes de Debian).
<item>Información sobre configuración de servicio con file-rc.
<item>Revisar todos los enlaces y URLs, y arreglar/eliminar los que ya no estén
disponibles.
<item>Añadir información sobre las sustituciones disponibles (en Debian) para
servidores comunes, que sean útiles para funcionalidades limitadas. Ejemplos:
<list>
<item>¿lpr local con cups (paquete)?
<item>lrp remoto con lpr
<item>bind con dnrd/maradns
<item>apache con dhttpd/thttpd/wn (¿tux?)
<item>exim/sendmail con ssmtpd/smtpd/postfix
<item>squid con tinyproxy
<item>ftpd con oftpd/vsftp
<item>...
</list>
<item>Más información relativa a los parches del núcleo relacionados con la
seguridad en Debian, incluyendo los mostrados a continuación y con información
específica sobre cómo habilitar estos parches en un sistema Debian.
<list>
<item>Detección de intrusiones en Linux (<package>kernel-patch-2.4-lids</package>)
<item>Gestión de permisos avanzados en Linux (en el paquete
<package>trustees</package>)
<item><url name="Linux mejorado NSA"
id="http://www.coker.com.au/selinux/";>
<!-- FIXME: woody only -->
<item><url name="kernel-patch-2.2.18-openwall"
id="http://packages.debian.org/kernel-patch-2.2.18-openwall";>
<item><package>kernel-patch-freeswan</package>, <package>kernel-patch-int</package>
</list>
<item>Detalles sobre cómo detener servicios de red innecesarios (aparte de
<prgn>inetd</prgn>). Esto se encuentra parcialmente en el procedimiento de
fortalecimiento («hardening», N. del T.), pero podría ampliarse un poco
más.
<item>Información relativa a la rotación de contraseñas, relacionado
estrechamente con la política de seguridad.
<item>Política de seguridad, y educar a los usuarios sobre esta política.
<item>¿Más sobre «tcpwrappers», y «wrappers» en general?
<item><file>hosts.equiv</file> y otros agujeros de seguridad.
<item>¿Temas relacionados con servidores de archivos compartidos tales como Samba
y NFS?
<item>suidmanager/dpkg-statoverrides.
<item>lpr y lprng.
<item>Detener las cosas de IP de gnome.
<item>Hablar sobre pam_chroot (ver <url
id="http://lists.debian.org/debian-security/2002/debian-security-200205/msg00011.html";>)
y su utilidad para limitar a los usuarios. Introducir información relacionada
con <url id="http://online.securityfocus.com/infocus/1575";>.
<package>pdmenu</package>, por ejemplo, está disponible en Debian (mientras que
flash no lo está).
<item>Hablar sobre cómo enjaular («chrooting») servicios. Información adicional
en
<url id="http://www.linuxfocus.org/English/January2002/article225.shtml";>,
<url id="http://www.nuclearelephant.com/papers/chroot.html";> y
<url id="http://www.linuxsecurity.com/feature_stories/feature_story-99.html";>
<item>Hablar sobre programas para hacer jaulas chroot.
<package>compartment</package> y <package>chrootuid</package> están esperando
en la entrada. Algunos otros (makejail, jailer) también podrían incluirse.
<!-- No longer available in that URL
<item>Añadir la información suministrada por Karl Hegbloom relativa a
enjaular BIND 9. Consultar <url
id="http://people.pdxlinux.org/~karlheg/Secure_Bind9_uHOWTO/Secure_Bind_9_uHOWTO.xhtml";>.
-->
<item>Añadir la información facilitada por Pedro Zornenon relativa a enjaular
BIND 8, aunque únicamente para la versión potato :(. Consultar <url
id="http://people.debian.org/~pzn/howto/chroot-bind.sh.txt";> (¿incluir el
script completo?).
<item>Más información relativa a los programas de análisis de registros (como
logcheck y logcolorise).
<item>Enrutado «avanzado» (el control del tráfico está relacionado con la
seguridad).
<item>Limitar el acceso por <prgn>ssh</prgn> para ejecutar ciertas instrucciones.
<item>Utilizar dpkg-statoverride.
<item>Formas seguras de compartir un grabador de CDs entre los usuarios.
<item>Formas seguras de proporcionar sonido por la red como complemento a las
capacidades de visualización por la red (de forma que los sonidos de los
clientes de X sean reproducidos por el hardware de sonido de los servidores de
X).
<item>Proteger los navegadores de web.
<item>Configurar ftp sobre <prgn>ssh</prgn>.
<item>Utilizar sistemas de archivos de «loopback» cifrados.
<item>Cifrar el sistema de archivos completo.
<item>Herramientas de steganographic.
<item>Configurar un PKA para una organización.
<item>Utilizar LDAP para la gestión de usuarios. Hay un CÓMO de ldap+kerberos
para Debian, escrito por Turbo Fredrikson, en www.bayour.com.
<item>Cómo eliminar información de utilidad reducida en sistemas de producción
tales como <file>/usr/share/doc</file>, <file>/usr/share/man</file> (sí,
seguridad por oscuridad).
<item>Más información sobre lcap basada en el archivo léame de los paquetes
(bueno, no está allí todavía, vea <url
id="http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=169465"; name="Bug
#169465">) y del artículo de LWN: <url id="http://lwn.net/1999/1202/kernel.php3";
name="Desarrollo del núcleo">.
<item>Añadir el artículo de Colin sobre cómo configurar un entorno de chroot
para un sistema Sid completo
(<url id="http://people.debian.org/~walters/chroot.html";>).
<item>Añadir información sobre cómo ejecutar múltiples sensores de
<prgn>snort</prgn> en un sistema dado (comprobar los informes de errores
enviados a snort).
<item>Añadir información sobre cómo configurar un «honeypot»
(<package>honeyd</package>).
<item>Describir la situación de FreeSwan (huérfano) y OpenSwan. La sección de
VPN es necesario reescribirla.
</list>
<sect id="changelog">Registro de cambios/Historial
<sect1>Versión 3.5 (noviembre de 2005)
<p>Cambios por Javier Fernández-Sanguino Peña
<list>
<item>Nota en la sección de SSH indicando que chroot no funcionará si se
utiliza la opción nodev en la partición y se apunta a los últimos paquetes de
ssh con el parche de chroot. Gracias a Lutz Broedel por advertir sobre estos
temas.
<item>Corregida errata descubierta por Marcos Roberto Greiner (md5sum debería
ser sha1sum en un fragmento de código).
<item>Incluido parche de Jens Seidel para reparar un número de nombres de
paquetes y erratas.
<item>Ligera actualización de la sección de herramientas, quitando herramientas
que ya no están disponibles y añadiendo algunas nuevas.
<item>Reescritas algunas partes de la sección relativa a dónde encontrar este
documento y en qué formatos está disponible (el sitio web proporciona una
versión PDF). También añadida nota indicando que las copias ubicadas en otros
sitios y las traducciones podrían haber quedado obsoletas (muchos de los
resultados de la búsqueda del manual en Google corresponden a sitios que lo
tienen desactualizado).
</list>
<sect1>Versión 3.4 (agosto-septiembre de 2005)
<p>Cambios por Javier Fernández-Sanguino Peña
<list>
<item>Mejorados los aspectos de seguridad en la post-instalación relativos a la
configuración del núcleo para protección a nivel de red con un archivo
sysctl.conf proporcionado por Will Moy.
<item>Mejorada la sección de gdm, gracias a Simon Brandmair.
<item>Reparadas erratas por Frédéric Bothamy y Simon Brandmair.
<item>Mejoras en las secciones de post-instalación relacionadas con cómo generar
sumas MD5 (o SHA-1) de binarios para revisión periódica.
<item>Se actualizan las secciones de post-instalación relativas a la
configuración de checksecurity (estaban desactualizadas).
</list>
<sect1>Versión 3.3 (junio de 2005)
<p>Cambios por Javier Fernández-Sanguino Peña
<list>
<item>Se añade un fragmento de código para utilizar grep-available en la
generación de la lista de paquetes que dependen de Perl. Según se requirió en
#302470.
<item>Se reescribe la sección sobre servicios de red (cuáles están instalados y
cómo deshabilitarlos).
<item>Se añade información a la sección de utilización de «honeypot»,
mencionando paquetes de Debian útiles.
</list>
<sect1>Versión 3.2 (marzo de 2005)
<p>Cambios por Javier Fernández-Sanguino Peña
<list>
<item>Ampliada la sección sobre límites de configuración de PAM.
<item>Se añade información sobre cómo utilizar pam_chroot para openssh (basado
en el LÉEME de pam_chroot).
<item>Se reparan algunos asuntos menores comunicados por Dan Jacobson.
<item>Se actualiza la información sobre los parches del núcleo basándose en un
parche de Carlo Perassi y también se añaden notas de desaprobación y nuevos
parches del núcleo disponibles (adamantix).
<item>Se incluye parche de Simon Brandmair que arregla una sentencia relacionada
con fallos en el inicio de sesión en un terminal.
<item>Se añade Mozilla/Thunderbird a los agentes de GPG válidos, como fue
sugerido por Kapolnai Richard.
<item>Ampliada la sección sobre actualizaciones de seguridad que hace mención a
las actualizaciones del núcleo y de librerías, y a cómo detectar cuándo hay
necesidad de reiniciar un servicio.
<item>Se reescribe la sección de cortafuegos, moviendo al final la información
aplicable a woody y ampliando las otras secciones, incluyendo alguna información
sobre cómo establecer de forma manual un cortafuegos (con un script de
ejemplo) y cómo probar la configuración del cortafuegos.
<item>Se añade alguna información preparatoria para la versión 3.1.
<item>Se añade información más detallada sobre actualizaciones del núcleo,
específicamente dirigida a aquellos que utilizan el sistema de instalación
antiguo.
<item>Se añade una pequeña sección sobre la versión 0.6 experimental de apt que
proporciona comprobación de firmas de paquetes. Se mueve el contenido antiguo a
la sección y también se añade un enlace a los cambios hechos en aptitude.
<item>Se arreglan erratas descubiertas por Frédéric Bothamy.
</list>
<sect1>Versión 3.1 (enero de 2005)
<p>Cambios por Javier Fernández-Sanguino Peña
<list>
<item>Se añade aclaración sobre /usr de sólo lectura con parche de Joost van
Baal.
<item>Se aplica parche de Jens Seidel arreglando muchas erratas.
<item>FreeSWAN ha muerto, larga vida a OpenSWAN.
<item>Se añade información sobre cómo restringir el acceso a servicios RPC
(cuando no pueden deshabilitarse). También se incluye parche proporcionado por
Aarre Laakso.
<item>Se actualiza el script apt-check-sigs de aj.
<item>Se aplica un parche de Carlo Perassi corrigiendo URLs.
<item>Se aplica un parche de Davor Ocelic corrigiendo muchos errores, erratas,
urls, errores gramaticales y ARRÉGLAMEs. También se añade información adicional
en algunas secciones.
<item>Se reescribe la sección sobre auditoría de usuarios, destacando el uso de
script que no tenga alguno de los asuntos asociados al historial del intérprete
de órdenes.
</list>
<sect1>Versión 3.0 (diciembre de 2004)
<p>Cambios por Javier Fernández-Sanguino Peña
<list>
<item>Se reescribe la información sobre auditoría de usuarios y se incluyen
ejemplos sobre cómo utilizar scrits.
</list>
<sect1>Versión 2.99 (marzo de 2004)
<p>Cambios por Javier Fernández-Sanguino Peña
<list>
<item>Se añade información sobre referencias en DSAs y CVE-Compatibility.
<item>Se añade información sobre apt 0.6 (apt-secure confluye en experimental).
<item>Se corrige la localización del CÓMO de demonios de Chroot según fue
sugerido por Shuying Wang.
<item>Cambiada línea de APACHECTL en el ejemplo de chroot de Apache (incluso si
no se usa en absoluto) como fue sugerido por Leonard Norrgard.
<item>Se añade una nota al pie considerando los ataques de «hardlink» si las
particiones no están configuradas adecuadamente.
<item>Se añaden algunos pasos perdidos con objeto de ejecutar bind como «named»
(N. del T., nombre de usuario y de grupo: named) como fue proporcionado por
Jeffrey Prosa.
<item>Se añaden notas sobre el estado desactualizado de Nessus y Snort en woody
y la disponibilidad de paquetes en «backports».
<item>Se añade un capítulo relativo a comprobaciones de pruebas de integridad
periódicas.
<item>Aclarado el estado de pruebas relativas a actualizaciones de
seguridad. (Debian bug 233955)
<item>Se añade más información relativa a los contenidos esperados en seguridad
(ya que es específico del núcleo).
<item> Se añade enlace a snoopylogger (error de Debian 179409)
<item> Se añade referencia a guarddog (error de Debian 170710)
<item> <prgn>apt-ftparchive</prgn> está en <package>apt-utils</package>, no en
<package>apt</package> (gracias a Emmanuel Chantreau por indicarlo)
<item>Eliminado jvirus de la lista de AV.
</list>
</sect1>
<sect1>Versión 2.98 (diciembre de 2003)
<p>Cambios por Javier Fernández-Sanguino Peña
<list>
<item>Reparada URL por indicación de Frank Lichtenheld.
<item>Reparada errata de PermitRootLogin por sugerencia de Stefan Lindenau.
</list>
</sect1>
<sect1>Versión 2.97 (septiembre de 2003)
<p>Cambios por Javier Fernández-Sanguino Peña
<list>
<item>Se añaden aquellos que hicieron las contribuciones más significativas a
este manual (por favor mándeme un correo si piensa que debería estar en la lista
y no está).
<item>Se añade alguna propaganda sobre ARRÉGLAME/PORHACER
<item>Se mueve la información sobre actualizaciones de seguridad al principio de
la sección según fue sugerido por Elliott Mitchell.
<item>Se añade grsecurity a la lista de parches del núcleo para seguridad pero
añadiéndose una nota al pie sobre temas actuales con esto, según fue sugerido
por Elliott Mitchell.
<item>Se eliminan bucles en el script de seguridad de red del núcleo, según fue
sugerido por Elliott Mitchell.
<item>Se añade más información (actualizada) en la sección de antivirus.
<item>Se reescribe la sección de protección de desbordamiento del búfer y se
añade información sobre parches al compilador para habilitar este tipo de
protección.
</list>
<sect1>Versión 2.96 (agosto de 2003)
<p>Cambios por Javier Fernández-Sanguino Peña
<list>
<item>Eliminado (y luego vuelto a añadir) apéndice sobre enjaular Apache. El
apéndice tiene ahora licencia dual.
</list>
<sect1>Versión 2.95 (junio de 2003)
<p>Cambios por Javier Fernández-Sanguino Peña
<list>
<item>Reparadas erratas descubiertas por Leonard Norrgard.
<item>Se añade una sección sobre cómo contactar con CERT para gestión de
incidentes (<url id="#after-compromise">)
<item>Más información sobre cómo configurar un proxy de Squid.
<item>Se añade un enlace y se elimina un ARRÉGLAME gracias a Helge H. F.
<item>Reparada una errata (save_inactive) descubierta por Philippe Faes.
<item>Reparadas varias erratas descubiertas por Jaime Robles.
</list>
<sect1>Versión 2.94 (abril de 2003)
<p>Cambios por Javier Fernández-Sanguino Peña
<list>
<item>Siguiendo las sugerencias de Maciej Stachura he ampliado la sección sobre
cómo limitar a los usuarios.
<item>Reparada errata descubierta por Wolfgang Nolte.
<item>Se reparan enlaces con parche contribución de Ruben Leote Mendes.
<item>Se añade un enlace al excelente documento de David Wheeler, en la nota al
pie sobre cómo contar vulnerabilidades de seguridad.
</list>
<sect1>Versión 2.93 (marzo de 2003)
<p>Cambios por Frédéric Schütz.
<list>
<item>Se reescribe completamente la sección de atributos de ext2 (lsattr/chattr)
</list>
<sect1>Versión 2.92 (febrero de 2003)
<p>Cambios por Javier Fernández-Sanguino Peña y
Frédéric Schütz.
<list>
<item>Se incluye la sección 9.3 ("parches útiles del núcleo") en la sección 4.13
("Añadir parches del núcleo"), y se añade algún contenido.
<item>Se añaden algunos PORHACER
<item>Se añade información sobre la comprobación manual de actualizaciones y
también sobre crom-apt. De esta forma no se considera a Tiger como la única
forma de hacer comprobaciones de actualización automáticas.
<item>Se reescribe ligeramente la sección sobre cómo ejecutar actualizaciones de
seguridad, según comentarios de Jean-Marc Ranger.
<item>Se añade una nota sobre la instalación de Debian (que sugiere al usuario
que ejecute una actualización de seguridad justo después de la instalación)
</list>
<sect1>Versión 2.91 (enero/febrero de 2003)
<p>Cambios por Javier Fernández-Sanguino Peña (yo).
<list>
<item>Se añade un parche contribución de Frédéric Schütz.
<item>Se añaden algunas referencias sobre capacidades gracias a Frédéric.
<item>Ligeros cambios en la sección de bind, añadiendo una referencia a la
documentación en línea de la versión 9 de BIND y referencias apropiadas en la
primera parte (¡hola Pedro!)
<item>Corregida la fecha del registro de cambios - año nuevo:-)
<item>Se añade una referencia en los PORHACER a los artículos de Colin.
<item>Se elimina referencia a parches de ssh+chroot antiguos.
<item>Más parches de Carlo Perassi.
<item>Corregida errata (recursivo en Bind), apuntada por Maik Holtkamp.
</list>
<sect1>Versión 2.9 (diciembre de 2002)
<p>Cambios por Javier Fernández-Sanguino Peña (yo).
<list>
<item>Se reorganiza la información sobre chroot (se unen dos secciones que no
tenía sentido que estuvieran separadas)
<item>Se añaden las notas sobre cómo enjaular Apache, proporcionadas por
Alexandre Ratti.
<item>Se aplican parches contribución de Guillermo Jover.
</list>
<sect1>Versión 2.8 (noviembre de 2002)
<p>Cambios por Javier Fernández-Sanguino Peña (yo).
<list>
<item>Se aplican parches de Carlo Perassi. Las correcciones incluyen:
re-encapsulado de las líneas, reparados URL y algunos ARRÉGLAME
<item>Se actualizan los contenidos de las PUF (N. del T., Preguntas de Uso
Frecuentes) del equipo de seguridad de Debian.
<item>Se añade un enlace a las PUF del equipo de seguridad de Debian y a la
Referencia de los desarrolladores de Debian. Las secciones duplicadas podrían
(sólo podrían) eliminarse en el futuro.
<item>Se corrige la sección de auditoría hecha a mano con comentarios de Michal
Zielinski.
<item>Se añaden enlaces a listas de palabras (contribución de Carlo Perassi)
<item>Corregidas algunas erratas (todavía quedan muchas).
<item>Corregidos enlaces de TDP como sugirió John Summerfield.
</list>
<sect1>Versión 2.7 (octubre de 2002)
<p>Cambios por Javier Fernández-Sanguino Peña (yo). Nota: Todavía tengo muchos
cambios pendientes en mi buzón de correo (el cual tiene actualmente un tamaño de
5 Mbs).
<list>
<item>Se corrigen algunas erratas, contribuciones de Tuyen Dinh, Bartek Golenko
y Daniel K. Gebhart.
<item>Nota considerando rootkits con /dev/kmem, contribución de Laurent Bonnaud
<item>Corregida errata y ARRÉGLAMEs, contribuciones de Carlo Perassi.
</list>
<sect1>Versión 2.6 (septiembre de 2002)
<p>Cambios por Chris Tillman, tillman@voicetrak.com.
<list>
<item>Cambios para mejorar la gramática/ortografía.
<item>s/host.deny/hosts.deny/ (1 lugar)
<item>Se aplica el parche de Larry Holish (bastante grande, corrige gran
cantidad de ARRÉGLAMEs)
</list>
<sect1>Versión 2.5 (septiembre de 2002)
<p>Cambios por Javier Fernández-Sanguino Peña (yo).
<list>
<item>Corregidas erratas menores enviadas por Thiemo Nagel.
<item>Se añade una nota al pie sugerida por Thiemo Nagel.
<item>Corregido un enlace de URL.
</list>
<sect1>Versión 2.5 (agosto de 2002)
<p>Cambios por Javier Fernández-Sanguino Peña (yo). Había muchas cosas esperando
para ser incluidas en mi bandeja de entrada (cosas tan lejanas como de febrero),
por eso voy a etiquetar esto como la versión del <em>regreso de la luna de
miel</em> :)
<list>
<item>Se aplica un parche contribución de Philipe Gaspar relativo a Squid que
también acaba con un ARRÉGLAME.
<item>Otro elemento para las PUF relativo a pancartas (banners) de servicios
tomado de la lista de correo de «debian-security» (hilo «Telnet information»
iniciado el 26 de julio de 2002)
<item>Se añade una nota relativa al uso de referencias cruzadas de CVE en el
elemento de las PUF <em>Cuánto tiempo el equipo de seguridad de Debian...</em>.
<item>Se añade una nueva sección relativa a ataques de ARP, contribución de
Arnaud "Arhuman" Assad.
<item>Nuevo elemento de las PUF relativo a dmesg y comienzo de sesión en consola
por el núcleo.
<item>Pequeñas exquisiteces de información para temas de comprobación de firmas
en paquetes (parece no haberse obtenido la versión beta anterior).
<item>Nuevo elemento de las PUF relativo a falsos positivos de las herramientas
de evaluación de vulnerabilidades.
<item>Se añaden nuevas secciones al capítulo que contiene información sobre
firmas de paquetes, reorganizándolo como un nuevo capítulo de
<em>Infraestructura de seguridad de Debian</em>.
<item>Nuevo elemento de las PUF relativo a Debian vs. otras distribuciones de
Linux.
<item>Nueva sección sobre agentes de usuarios de correo con funcionalidad
GPG/PGP en el capítulo de herramientas de seguridad.
<item>Se aclara cómo habilitar contraseñas MD5 en woody, añadiendo un enlace a
PAM así como una nota relativa a la definición de max en PAM.
<item>Se añade un nuevo apéndice sobre cómo crear entornos de chroot (después de
hacer algunos chanchullos con makejail y reparar, también, algunos de sus
fallos), se integra información duplicada en todos los apéndices.
<item>Se añade alguna información adicional relativa a enjaular <PRGN>SSH</PRGN>
y su impacto en la transferencia segura de archivos. Alguna información se ha
obtenido de la lista de correo de «debian-security» (junio de 2002 hilo:
<em>transferencia segura de archivos</em>).
<item>Nuevas secciones sobre cómo hacer actualizaciones automáticas en sistemas
Debian, así como las advertencias de usar las versiones de pruebas («testing») o
inestable («unstable») relativas a actualizaciones de seguridad.
<item>Nueva sección relativa a mantener actualizado con parches de seguridad en
la sección <em>Antes del compromiso</em> así como una nueva sección sobre la
lista de correo de debian-security-announce.
<item>Se añade información sobre como generar automáticamente contraseñas
robustas.
<item>Nueva sección relativa a la desconexión de usuarios inactivos.
<item>Se reorganiza la sección «Proteger el servidor de correo» basado en los
hilos <em>Proteger/fortalecer Debian mínimo (o «¿Por qué es el sistema
base de la forma que es?»)</em> en la lista de correo de «debian-security» (mayo
de 2002).
<item>Se reorganiza la sección sobre parámetros de red de núcleo, con
información proporcionada en la lista de correo de «debian-security» (mayo de 2002
hilo, <em>¿ataque «syn flood»?</em>) y se añade también un nuevo elemento a las
PUF.
<item>Nueva sección sobre cómo comprobar contraseñas de usuarios y qué paquetes
instalar para ello.
<item>Nueva sección sobre cifrado PPTP con clientes de Microsoft, tratado en la
lista de correo de «debian-security» (abril de 2002).
<item>Se añade una nueva sección describiendo los problemas que hay cuando se
vincula cualquier servicio dado a una dirección IP específica, esta información
se escribió basándose en el hilo de la lista de correo de «bugtraq»: <em>Núcleo
2.4 de Linux "ordenador principal final débil" (anteriormente tratado en
«debian-security» como "problema de arp")</em> (iniciado el 9 de mayo de 2002 por
Felix von Leitner).
<item>Se añade información sobre la versión 2 del protocolo <prgn>ssh</prgn>.
<item>Se añaden dos subsecciones relacionadas con la configuración segura de Apache
(las cosas específicas de Debian).
<item>Se añade una nueva PUF relacionada con sockets en modo «raw», otra
relacionada con /root, otra relacionada con grupos de usuarios y otra
relacionada con permisos de archivos de registro y configuración.
<item>Se añade un enlace a un error en libpam-cracklib que podría todavía ser
abierto... (necesita comprobación)
<item>Se añade más información relativa a análisis forenses (pendiente de más
información sobre herramientas de inspección de paquetes como
<prgn>tcpflow</prgn>).
<item>Se convierte el «qué debería hacer con respecto al compromiso» en una lista
con viñetas y se incluyen algunas cosas más.
<item>Se añade alguna información sobre cómo configurar Xscreensaver para que la
pantalla se bloquee automáticamente tras transcurrir el tiempo establecido en
la configuración.
<item>Se añade una nota relacionada con las utilidades que no debería instalar
en el sistema. Se incluye una nota relativa a Perl y por qué no puede
desinstalarse fácilmente en Debian. La idea vino tras leer documentos de
Intersect relativos al fortalecimiento de Linux.
<item>Se añade información sobre lvm y sistemas de archivos transaccionales
(N. del T., journalling file systems), se recomienda ext3. La información allí
podría ser, sin embargo, demasiado genérica.
<item>Se añade un enlace a la versión de texto en línea (comprobar).
<item>Se añaden algunas cosas adicionales a la información sobre cortafuegos en
el sistema local, provocado por un comentario hecho por Hubert Chan en la lista
de correo.
<item>Se añade información sobre límites de PAM y enlaces a los documentos de Kurt
Seifried (relacionados con un correo enviado por él a «bugtraq» el 4 de abril de
2002 para contestar a una persona que había «descubierto» una vulnerabilidad en
Debian GNU/Linux relacionada con el hambre de recursos).
<item>Como fue sugerido por Julián Muñoz, se proporciona más información sobre
el «umask» predeterminado de Debian y sobre que un usuario pueda acceder si se
le ha dado una «shell» en el sistema (huh, ¿miedo?)
<item>Se incluye una nota en la sección de contraseña de la BIOS debido a un
comentario de Andreas Wohlfeld.
<item>Se incluyen parches proporcionados por Alfred E. Heggestad que corrigen
muchas de las erratas todavía presentes en el documento.
<item>Se añade un enlace al registro de cambios en la sección de Créditos puesto
que la mayoría de gente que contribuye está listada aquí (y no allí).
<item>Se añaden algunas notas adicionales a la sección de chattr y una nueva
sección después de la instalación hablando sobre imágenes instantáneas del
sistema. Ambas ideas fueron contribución de Kurt Pomeroy.
<item>Se añade una nueva sección después de la instalación únicamente para
recordar a los usuarios que cambien la secuencia de arranque.
<item>Se añaden algunos elementos proporcionados por Korn Andras al PORHACER.
<item>Se añade un enlace a las directrices de NIST sobre cómo proteger DNS,
proporcionado por Daniel Quinlan.
<item>Se añade un pequeño párrafo relativo a la infraestructura de certificados
SSL de Debian.
<item>Se añaden sugerencias de Daniel Quinlan relativas a la autenticación de
<prgn>ssh</prgn> y configuración de reenvío de exim.
<item>Se añade información relativa a proteger bind, incluyendo los cambios
sugeridos por Daniel Quinlan y un apéndice con un script para hacer alguno de
los cambios comentados en esa sección.
<item>Se añade un enlace a otro elemento relativo a enjaular Bind (necesita ser
incorporado)
<item>Se añade una instrucción, contribución de Cristian Ionescu-Idbohrn, para
recuperar paquetes con soporte de tcpwrappers.
<item>Se añade algo más de información sobre la configuración predeterminada de
PAM en Debian.
<item>Se incluye una pregunta a las PUF sobre cómo utilizar PAM para
proporcionar servicios sin cuentas de «shell».
<item>Se mueven dos elementos de las PUF a otra sección y se añade una nueva PUF
relativa a la detección de ataques (y sistemas comprometidos).
<item>Se incluye información sobre como configurar un cortafuegos en modo
«bridge» (incluyendo un apéndice de muestra). Gracias a Francois Bayart que me
envió esto en marzo.
<item>Se añade una PUF relativa a las <em>MARK</em> de syslogd, de una cuestión
respondida por Noah Meyerhans y Alain Tesio en diciembre de 2001.
<item>Se incluye información sobre protección del desbordamiento del búfer, así
como alguna información sobre parches del núcleo.
<item>Se añade información (y se reorganiza) a la sección de cortafuegos. Se
actualiza la información relativa al paquete iptables y los generadores de
cortafuegos disponibles.
<item>Se reorganiza la información relativa a la comprobación de registros, se
mueve la información de logcheck de detección de intrusos en la máquina
anfitriona a la sección con ese nombre.
<item>Se añade alguna información sobre cómo preparar un paquete estático para
enjaular bind (no probado).
<item>Se añade un elemento a las PUF relacionado con algunos
servidores/servicios específicos (podría ampliarse con algunas de las
recomendaciones de la lista de «debian-security»).
<item>Se añade alguna información sobre servicios RPC (y cuándo es necesario).
<item>Se añade alguna información adicional sobre capacidades (y lo que hace
lcap). ¿Hay alguna buena documentación sobre esto? Yo no he encontrado ninguna
documentación sobre mi kernel 2.4.
<item>Se arreglan algunas erratas.
</list>
<sect1>Versión 2.4
<p>Cambios por Javier Fernández-Sanguino Peña.
<list>
<item>Reescrita parte de la sección sobre la BIOS.
</list>
<sect1>Versión 2.3
<p>Cambios por Javier Fernández-Sanguino Peña.
<list>
<item>Se encierran la mayoría de las localizaciones de archivos entre etiquetas file.
<item>Se corrige una errata observada por Edi Stojicevi.
<item>Ligeros cambios en la sección de herramientas de auditoría remota.
<item>Añadidos algunos elementos a la lista de PORHACER.
<item>Se añade información relativa a impresoras y el archivo de configuración de
cups (tomado de un hilo en «debian-security»).
<item>Añadido un parche enviado por Jesús Climent relativo al acceso de usuarios
válidos del sistema a Proftpd cuando éste se ha configurado como servidor
anónimo.
<item>Pequeño cambio sobre los esquemas de particiones para el caso especial de
los servidores de correo.
<item>Se añade «Hacking Linux Exposed» en la sección de libros.
<item>Corregida una errata en un directorio observada por Eduardo Pérez Ureta.
<item>Corregida una errata de /etc/ssh en la lista de comprobaciones, observada
por Edi Stojicevi.
</list>
<sect1>Versión 2.3
<p>Cambios por Javier Fernández-Sanguino Peña.
<list>
<item>Corregida la ubicación del fichero de configuración de dpkg (conffile).
<item>Se retira a Alexander de la información de contacto.
<item>Se añaden direcciones de correo alternativas.
<item>Corregida la dirección de correo de Alexander.
<item>Corregida la ubicación de las claves de la distribución (gracias a Pedro
Zorzenon por indicárnoslo).
</list>
<sect1>Versión 2.2
<p>Cambios por Javier Fernández-Sanguino Peña.
<list>
<item>Corregidas erratas, gracias a Jamin W. Collins.
<item>Se añade una referencia a la página del manual de apt-extracttemplate
(documenta la configuración de APT::ExtractTemplate).
<item>Se añade una sección sobre SSH restringido. Información basada en los
correos enviados por Mark Janssen, Christian G. Warden y Emmanuel Lacour a
la lista de correo de «debian-security».
<item>Se añade información sobre programas antivirus.
<item>Se añade un elemento a las PUF: registros de <em>su</em> debido a la
ejecución de crom como root.
</list>
<sect1>Versión 2.1
<p>Cambios por Javier Fernández-Sanguino Peña.
<list>
<item>Modificado el ARRÉGLAME de lshell gracias a Oohara Yuuma.
<item>Se añade un paquete a sXid y se elimina el comentario puesto que *está*
disponible.
<item>Corregidas algunas erratas descubiertas por Oohara Yuuma.
<item>ACID está ahora disponible en Debian (en el paquete acidlab). Gracias a
Oohara Yuuma por notificarlo.
<item>Corregidos los enlaces de LinuxSecurity (gracias a Dave Wreski por
comentarlo).
</list>
<sect1>Versión 2.0
<p>Cambios por Javier Fernández-Sanguino Peña. Quería cambiar a la versión 2.0
cuando todos los ARRÉGLAMEs estuvieran arreglados, pero me quedé sin números
1.9X :(
<list>
<item>Se convierte el CÓMO en un Manual (ahora puedo decir con propiedad LEJM).
<item>Se añade más información relativa a «tcp wrappers» y Debian (ahora muchos
servicios están compilados con soporte para ellos, de forma que ya no es un
asunto de <prgn>inetd</prgn>).
<item>Se aclara la información sobre cómo deshabilitar servicios de rpc para
hacerlo más consistente (la información de rpc hacía referencia a update-rc.d).
<item>Se añade una pequeña nota sobre lprng.
<item>Se añade alguna información sobre servidores comprometidos (aún muy
tosco).
<item>Se corrigen erratas comunicadas por Mark Bucciarelli.
<item>Se añaden algunos pasos relacionados con la recuperación de contraseñas,
para cubrir los casos en los que el administrador haya establecido
paranoid-mode=on.
<item>Se añade información para establecer paranoid-mode=on al comenzar una
sesión en consola.
<item>Nuevo párrafo para introducir configuraciones de servicios.
<item>Se reorganiza la sección <em>Después de la instalación</em> de forma que
queda dividida en varios temas, facilitando su lectura.
<item>Se escribe información sobre cómo configurar cortafuegos en un sistema
Debian 3.0 estándar (paquete iptables).
<item>Pequeño párrafo que explica por qué no es una buena idea instalar estando
conectado a Internet y cómo evitar esto usando las herramientas Debian.
<item>Pequeño párrafo sobre cómo aplicar parches de seguridad de forma
oportuna. Hace referencia a un trabajo publicado en el IEEE.
<item>Apéndice sobre cómo configurar una máquina «snort» Debian, basado en lo
que envió Vladimir a la lista de correo de «debian-security» (3 de septiembre de
2001).
<item>Información sobre cómo configurar logcheck en Debian y cómo puede
utilizarse para configurar HIDS.
<item>Información sobre contabilidad de usuarios y análisis de perfiles.
<item>Se incluye configuración de apt.conf para /usr de sólo lectura. Copiado de
un envío de Olaf Meeuwissen a la lista de correo de «debian-security».
<item>Nueva sección sobre VPN con algunos enlaces y los paquetes disponibles en
Debian (necesita contenido sobre cómo configurar VPNs y cuestiones específicas
de Debian). Basado en los envíos de Jaroslaw Tabor y Samuli Suonpaa a la lista
de correo de «debian-security».
<item>Pequeña nota relativa a algunos programas para la construcción automática
de jaulas de «chroot».
<item>Nueva entrada para las PUF relativa a identd, basada en una discusión en
la lista de correo de «debian-security» (febrero de 2002, comenzada por Johannes
Weiss).
<item>Nueva entrada para las PUF relativa a <prgn>inetd</prgn>, basada en una
discusión en la lista de correo de «debian-security» (febrero de 2002).
<item>Incluida nota sobre rcconf en la sección «Deshabilitar servicios».
<item>Modificado el enfoque con respecto a LKM, gracias a Philipe Gaspar.
<item>Se añaden enlaces a documentos del CERT y a recursos de Couterpane.
</list>
<sect1>Versión 1.99
<p>Cambios por Javier Fernández-Sanguino Peña.
<list>
<item>Se añade una nueva entrada a las PUF relativa al tiempo de reparación de
vulnerabilidades de seguridad.
<item>Se reorganizan las secciones de las PUF.
<item>Se comienza la escritura de una sección relativa a los cortafuegos en
Debian GNU/Linux (se podría ampliar un poco).
<item>Corregidas erratas enviadas por Matt Kraai
<item>Corregida la información sobre DNS.
<item>Se añade información sobre whisker y nbtscan en la sección de auditoría.
<item>Corregidos algunos URLs erróneos.
</list>
<sect1>Versión 1.98
<p>Cambios por Javier Fernández-Sanguino Peña.
<list>
<item>Se añade una nueva sección relativa a auditoría utilizando Debian
GNU/Linux.
<item>Se añade información relativa al demonio finger, tomada de la lista de
correo sobre seguridad.
</list>
<sect1>Versión 1.97
<p>Cambios por Javier Fernández-Sanguino Peña.
<list>
<item>Corregido el enlace a «Linux Trustees».
<item>Corregidas erratas (parches de Oohara Yuuma y Pedro Zorzenon).
</list>
<sect1>Versión 1.96
<p>Cambios por Javier Fernández-Sanguino Peña.
<list>
<item>Se reorganiza la instalación y desinstalación de servicios y se añaden
algunas notas.
<item>Se añaden algunas notas relativas al uso de comprobadores de integridad
como herramientas de detección de intrusos.
<item>Se añade un capítulo relativo a firmas de paquetes.
</list>
<sect1>Versión 1.95
<p>Cambios por Javier Fernández-Sanguino Peña.
<list>
<item>Se añaden notas relativas a la seguridad de Squid, enviadas por Philipe
Gaspar.
<item>Reparados enlaces a rootkit gracias a Philipe Gaspar.
</list>
<sect1>Versión 1.94
<p>Cambios por Javier Fernández-Sanguino Peña.
<list>
<item>Se añaden algunas notas relativas a Apache y Lpr/lpng.
<item>Se añade alguna información relativa a noexec y a particiones de sólo
lectura.
<item>Reescritura de cómo pueden los usuarios ayudar en los asuntos de seguridad
de Debian (entrada a las PUF).
</list>
<sect1>Versión 1.93
<p>Cambios por Javier Fernández-Sanguino Peña.
<list>
<item>Reparada la ubicación del programa de correo.
<item>Se añaden nuevos elementos a las PUF.
</list>
<sect1>Versión 1.92
<p>Cambios por Javier Fernández-Sanguino Peña.
<list>
<item>Se añade una pequeña sección sobre cómo maneja Debian la seguridad.
<item>Clarificación sobre las contraseñas MD5 (gracias a «rocky»).
<item>Se añade alguna información de Stephen van Egmond relativa a harden-X.
<item>Se añaden algunos elementos nuevos a las PUF.
</list>
<sect1>Versión 1.91
<p>Cambios por Javier Fernández-Sanguino Peña.
<list>
<item>Se añade alguna información forense enviada por Yotam Rubin.
<item>Se añade información sobre cómo construir una red trampa (honeynet)
utilizando Debian GNU/Linux.
<item>Se añaden algunas entradas al PORHACER.
<item>Corregidas algunas erratas (¡gracias Yotam!).
</list>
<sect1>Versión 1.9
<p>Cambios por Javier Fernández-Sanguino Peña.
<list>
<item>Se añade parche para corregir errores ortográficos y alguna información
nueva (contribución de Yotam Rubin).
<item>Se añaden referencias a otra documentación «en línea» (y sin conexión)
tanto en una sección propia (vea <ref id="references">) como en el interior de
otras secciones.
<item>Se añade alguna información sobre opciones de configuración de Bind para
restringir el acceso al servidor de DNS.
<item>Se añade información sobre cómo fortalecer automáticamente un sistema
Debian (considerando los paquetes harden y bastille).
<item>Se eliminan algunos elementos del PORHACER ya realizados, y se añaden
otros nuevos.
</list>
<sect1>Versión 1.8
<p>Cambios por Javier Fernández-Sanguino Peña.
<list>
<item>Se añade la lista de usuario/grupo por omisión, proporcionada por Joey
Hess a la lista de correo de «debian-security».
<item>Se añade información sobre los root-kits de LKM (<ref id="LKM">),
contribución de Philipe Gaspar.
<item>Se añade información sobre Proftp, contribución de Emmanuel Lacour.
<item>Recuperado el apéndice de lista de comprobaciones (N. del T.: checklist)
de Era Eriksson.
<item>Se añaden algunas nuevas entradas al PORHACER y se eliminan otras ya
realizadas.
<item>Se incluyen de forma manual los parches de Era ya que no estaban
todos incluidos en la versión anterior.
</list>
<sect1>Versión 1.7
<p>Cambios por Era Eriksson.
<list>
<item>Corregidas erratas y cambiadas algunas palabras
</list>
<p>Cambios por Javier Fernández-Sanguino Peña.
<list>
<item>Cambios menores en las etiquetas para seguir eliminando las tt, y
sustituirlas por las etiquetas prgn/package.
</list>
<sect1>Versión 1.6
<p>Cambios por Javier Fernández-Sanguino Peña.
<list>
<item>Se añade un enlace al documento según se publicó en el DDP (N. del T.,
Proyecto de Documentación de Debian), debería sustituir al original en un futuro
próximo.
<item>Se comienza un mini-PUF (debería ampliarse) con algunas preguntas
recuperadas de mi buzón.
<item>Se añade información general a considerar mientras se protege el sistema.
<item>Se añade un párrafo relativo a la entrega de correo local (entrante).
<item>Se añaden algunos enlaces para ampliar información.
<item>Se añade información relativa al servicio de impresión.
<item>Se añade una lista de comprobación del fortalecimiento de la seguridad.
<item>Se reorganiza la información sobre NIS y RPC.
<item>Se añaden algunas notas tomadas mientras leía este documento en mi nuevo
Visor. :)
<item>Reparadas algunas líneas mal formateadas.
<item>Reparadas algunas erratas.
<item>Se añaden algunas ideas Geniales/Paranoicas, contribución de Gaby
Schilders.
</list>
<sect1>Versión 1.5
<p>Cambios por Josip Rodin y Javier Fernández-Sanguino Peña.
<list>
<item>Se añaden párrafos relacionados con BIND y algunos ARRÉGLAMEs.<!-- Removed
this because I found no evidence for it in the diffs. // era Rewrote style in
order to make it more formal. -->
</list>
<sect1>Versión 1.4
<p>
<list>
<item>Pequeño párrafo de comprobación de setuid.
<item>Varios arreglos menores.
<item>Se averigua cómo utilizar <tt>sgml2txt -f</tt> para la versión de txt.
</item>
</list>
<sect1>Versión 1.3
<p>
<list>
<item>Se añade una actualización de seguridad tras el párrafo de instalación.
<item>Se añade un párrafo de proftpd.
<item>Esta vez sí que se escribió algo sobre XDM, disculpas por la vez anterior.
</list>
<sect1>Versión 1.2
<p>
<list>
<item>Muchas correcciones gramaticales por James Treacy, nuevo párrafo de XDM.
</list>
<sect1>Versión 1.1
<p>
<list>
<item>Corregidas erratas, incorporaciones variadas.
</list>
<sect1>Versión 1.0
<p>
<list>
<item>Versión inicial.
</list>
<sect>Créditos y agradecimientos
<p>
<list>
<item>Alexander Reelsen escribió el documento original.
<item>Javier Fernández-Sanguino añadió más información al documento original.
<item>Robert van der Meulen aportó los párrafos de quota y muchas buenas ideas.
<item>Ethan Benson corrigió el párrafo de PAM y tuvo buenas ideas.
<item>Dariusz Puchalak contribuyó con información en varios capítulos.
<item>Gaby Schilders contribuyó con una buena idea de Genio/Paranoia.
<item>Era Eriksson pulió el lenguaje en muchos lugares y contribuyó en el
apéndice de la lista de comprobaciones.
<item>Philipe Gaspar escribió la información de LKM.
<item>Yotam Rubin contribuyó con la corrección de muchas erratas así como con
información relativa a las versiones de bind y a las contraseñas md5.
<item>Todas las personas que hicieron sugerencias de mejoras que (eventualmente)
fueron incluidas aquí (vea <ref id="changelog">).
<item>(de Alexander) Toda la gente que me animó a escribir este CÓMO (el cual
posteriormente se convirtió en un Manual).
<item>El proyecto Debian al completo.
</list>
<!--
Traducción terminada el martes 17 de enero de 2006.
-->
Reply to: