Re: [RFR] debian-doc://ddp/manuals.sgml/securing-howto/en/before-install.sgml
Manuel Parrilla escribió:
>La versión del documento original en ingles es la 1.13, como pone
>en la cabecera del documento.
>
>
>
Ahí van algunas sugerencias..
>Un saludo.
>
>
otro.
--- before-install.sgml.orig 2006-04-30 21:23:11.000000000 +0200
+++ before-install.sgml 2006-04-30 22:20:30.000000000 +0200
@@ -3,24 +3,24 @@
<chapt>Antes y durante la instalación
-<sect id="bios-passwd">Elegir una contraseña para la BIOS
+<sect id="bios-passwd">Elegir una contraseña para el BIOS
<p>
Antes de instalar cualquier sistema operativo en su ordenador, establezca la
-contraseña de la BIOS. Tras la instalación (una vez que haya habilitado el
-arranque desde el disco duro) debería volver a la BIOS y cambiar la secuencia de
+contraseña del BIOS. Tras la instalación (una vez que haya habilitado el
+arranque desde el disco duro) debería volver al BIOS y cambiar la secuencia de
arranque para deshabilitar el arranque desde la disquetera, la unidad de cdrom
o cualquier otro dispositivo desde el que no se debería arrancar. De otra forma
-un cracker únicamente necesitará acceso físico y un disquete de arranque para
+un «cracker» únicamente necesitará acceso físico y un disquete de arranque para
acceder a todo su sistema.
<p>Incluso mejor es deshabilitar el arranque a menos que se proporcione una
contraseña. Esto puede ser muy efectivo en un servidor, ya que no se rearranca
muy a menudo. El inconveniente de esta táctica es que el rearranque requiere
-intervención humana, lo que puede causar problemas si no hay fácil acceso a la
+intervención humana, lo que puede causar problemas si no hay un acceso fácil a la
máquina.
-<p>Nota: muchas BIOS tienen contraseñas maestras predeterminadas bien conocidas,
-y también existen aplicaciones para recuperar las contraseñas de la
+<p>Nota: muchos BIOS tienen contraseñas maestras predeterminadas bien conocidas,
+y también existen aplicaciones para recuperar las contraseñas del
BIOS. Corolario: no confíe en esta medida para proteger el acceso por consola al
sistema.
@@ -36,15 +36,16 @@
<item>Cualquier árbol de directorios en el que un usuario tenga permisos de
escritura, tales como <file>/home</file>, <file>/tmp</file> y
<file>/var/tmp/</file>, deberían estar en una partición separada. Esto reduce el
-riesgo de DoS (N. del T.: Denial of Service) de un usuario por llenado del punto
+riesgo de DoS (N. del T.: Denial of Service, denegación de servicio) de un usuario por llenado del punto
de montaje «/» y de dejar el sistema inutilizable (Nota: esto no es
estrictamente cierto, puesto que siempre hay algún espacio reservado para «root»
que un usuario normal no puede llenar), y también evita ataques basados en
enlaces duros. <footnote> En <url
-id="http://www.hackinglinuxexposed.com/articles/20031111.html"; name="The
-mysteriously persistently exploitable program (contest)"> y
+id="http://www.hackinglinuxexposed.com/articles/20031111.html"; name="El programa
+misteriosamente «exploitable» persistentemente (prueba)"> y
<url id="http://www.hackinglinuxexposed.com/articles/20031214.html";
-name="The mysteriously persistently exploitable program explained">, puede
+name="El programa misteriosamente «exploitable» persistentemente explicado">
+(ambos en inglés), puede
encontrar un ejemplo muy bueno de esta clase de ataques utilizando /tmp
(observe que el incidente está relacionado con Debian). Básicamente es un ataque
en el que un usuario local oculta un programa vulnerable con permisos de
@@ -71,8 +72,8 @@
<item>Desde el punto de vista de la seguridad, cobra sentido intentar mover los
datos estáticos a su propia partición, y luego montar esa partición como de sólo
-lectura. O mejor todavía, poner los datos en un medio de sólo lectura. Vea más
-abajo para ampliar detalles.
+lectura. O mejor todavía, poner los datos en un medio de sólo lectura. Mire más
+adelante si quiere más detalles.
</list>
<p>En el caso de un servidor de correo es importante tener una partición aparte
@@ -107,7 +108,7 @@
<item>para ordenadores portátiles en todos los sistemas de archivos
instalados. De esta forma, si se queda sin batería de forma inesperada o el
-sistema «se cuelga» debido a un problema hardware (como puede ser la
+sistema «se cuelga» debido a un problema de «hardware» (como puede ser la
configuración de las X, lo que es un tanto común), será menos probable perder
datos durante el reinicio del sistema.
@@ -163,7 +164,7 @@
específicas de Debian (si es un sistema Debian) como <package>apt-move</package> ó
<package>apt-proxy</package>, u otras herramientas de replicación comunes, para
proporcionar el archivo al sistema instalado. Si no puede hacer esto, puede
-configurar reglas de cortafuego para limitar el acceso al sistema mientras hace
+las configurar reglas del cortafuegos para limitar el acceso al sistema mientras hace
la actualización (vea <ref id="fw-security-update">).
<sect>Establecer una contraseña para «root»
@@ -176,16 +177,16 @@
<p>
En Internet puede encontrar mucha información sobre cómo elegir buenas
contraseñas; dos sitios que proporcionan un resumen aceptable y razonado son
-<url name="How to: Pick a Safe Password"
+<url name="Cómo: escoger una contraseña segura (en inglés)"
id="http://wolfram.org/writing/howto/password.html";> de Eric Wolfram y <url
-name="Unix Password Security"
+name="Seguridad de contraseñas en Unix (en inglés)"
id="http://www.ja.net/CERT/Belgers/UNIX-password-security.html";> de Walter
Belgers.
<sect>Activar contraseñas ocultas y contraseñas MD5
<p>
Al final de la instalación se le preguntará si quiere habilitar contraseñas
-ocultas (N. del T., shadow passwords). Si contesta que sí a esta cuestión, las
+ocultas (N. del T., shadow passwords). Si contesta que sí a esta pregunta, las
contraseñas se guardarán en el archivo <file>/etc/shadow</file>. Únicamente el
superusuario y el grupo «shadow» tienen acceso de lectura a este archivo,
por tanto ningún usuario podrá copiar, ni apoderarse de este archivo para
@@ -195,12 +196,12 @@
<p>Lea más sobre contraseñas ocultas en
<url
-name="Shadow Password"
+name="Contraseñas ocultas (en inglés)"
id="http://www.tldp.org/HOWTO/Shadow-Password-HOWTO.html";>
(<file>/usr/share/doc/HOWTO/en-txt/Shadow-Password.txt.gz</file>).
<p>Además, la instalación utiliza de forma predeterminada contraseñas cifradas
-con MD5. Generalmente es muy buena idea puesto que permite contraseñas más
+con MD5. Generalmente es muy buena idea, puesto que permite contraseñas más
largas y un mejor cifrado. MD5 permite contraseñas de más de 8 caracteres. Esto,
si se usa con prudencia, puede dificultar a los atacantes averiguar las
contraseñas del sistema mediante el método de «fuerza-bruta». Con respecto a las
@@ -232,7 +233,7 @@
instalado podría introducir nuevos, quizás no obvios (o conocidos), agujeros de
seguridad en su ordenador.
-<p>Como quizás ya sepa, cuando instala un servicio dado el comportamiento
+<p>Como quizás ya sepa, cuando instala un servicio dado, el comportamiento
predeterminado es activarlo. En una instalación Debian por omisión, sin
servicios instalados, el número de servicios en ejecución es bastante bajo y el
número de servicios orientados a red es aún menor. En una instalación estándar
@@ -253,7 +254,7 @@
superdemonio <prgn>inetd</prgn> (esto es, añadiendo una línea a
<file>/etc/inetd.conf</file>) o por medio de un programa autónomo que enlace con
sus interfaces de red. Los programas autónomos se controlan a través de los
-archivos de <file>/etc/init.d</file>, los cuales son llamados durante el arranque
+archivos de <file>/etc/init.d</file>, a los que se llama durante el arranque
por medio de los mecanismos de SysV (o un alternativo) utilizando enlaces
simbólicos en <file>/etc/rc?.d/*</file> (para más información sobre cómo se hace
esto, lea <file>/usr/share/doc/sysvinit/README.runlevels.gz</file>).
@@ -295,7 +296,7 @@
funcionará correctamente, puesto que se eliminarán <em>todos</em> los enlaces, y
éstos se regenerarán con la reinstalación o actualización del paquete (que
probablemente no sea lo que desea). Si piensa que esto no es intuitivo,
-probablemente tenga razón (vea <url id="http://bugs.debian.org/67095"; name="Bug
+probablemente tenga razón (vea <url id="http://bugs.debian.org/67095"; name="Fallo
67095">). De la página del manual:
<example>
@@ -312,7 +313,7 @@
<p>Puede utilizar TUI (Text User Interface. N. del T.: interfaz de usuario en
modo texto), proporcionado por <package>sysv-rc-conf</package>, para realizar
fácilmente todos estos cambios (<prgn>sysv-rc-conf</prgn> funciona tanto para
-<package>file-rc</package> como para los normales niveles de ejecución de System
+<package>file-rc</package> como para los niveles de ejecución normales de System
V). También encontrará GUIs (N. del T., interfaz de usuario en modo gráfico)
similares para sistemas de escritorio.
@@ -436,10 +437,10 @@
<p>Por supuesto, un intruso con acceso local al intérprete de órdenes puede
descargar su propio conjunto de herramientas y ejecutarlas, e incluso puede
utilizar el intérprete de órdenes para construir programas complejos. Eliminar el
-software innecesario no ayudará a <em>evitar</em> el problema, pero al atacante
+«software» innecesario no ayudará a <em>evitar</em> el problema, pero al atacante
le resultará ligeramente más complicado proceder (y alguno podría abandonar en
esta situación, buscando objetivos más fáciles). Así, si deja herramientas en un
-sistema de producción que pudieran ser utilizadas para atacar sistemas de forma
+sistema de producción que se pudieran utilizar para atacar sistemas de forma
remota (véase <ref id="vuln-asses">) puede esperar que un intruso las utilice si
están disponibles.
@@ -474,8 +475,8 @@
<p>Esto es algo que probablemente se corrija en versiones posteriores a sarge,
véase <url id="http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=301273";
-name="Bug #301273"> y
-<url id="http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=301138"; name="Bug
+name="Fallo #301273"> y
+<url id="http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=301138"; name="Fallo
#301138"> para revisar el estado actual del tema. Debido a un error en el
sistema de instalación esto no ocurría al instalar la versión Debian 3.0
<em>woody</em>.
@@ -483,7 +484,7 @@
<sect1>Eliminar Perl
<p>Tiene que tener en cuenta que eliminar <prgn>perl</prgn> podría no ser
-demasiado sencillo (de hacho puede ser bastante difícil) en un sistema Debian
+demasiado sencillo (de hecho puede ser bastante difícil) en un sistema Debian
puesto que lo utilizan muchas utilidades del sistema. Además, el paquete
<package>perl-base</package> es de <em>Prioridad: requerido</em> (lo que ya lo
dice todo). Aún así puede hacerse, pero no podrá ejecutar ninguna aplicación
@@ -581,12 +582,12 @@
</list>
-<p>Así, sin Perl y, a menos que rehaga estas utilidades en «scripts», no podrá
+<p>Así, sin Perl, y a menos que rehaga estas utilidades en «scripts», no podrá
probablemente gestionar paquetes (por tanto no podrá actualizar el sistema, lo
cual <em>no es Bueno</em>).
<p>Si está decidido a eliminar Perl del sistema base Debian, y tiene tiempo
-libre, remita informes de errores para los paquetes anteriores incluyendo (como
+libre, remita informes de fallo para los paquetes anteriores incluyendo (como
un parche) las sustituciones en forma de «scripts» para dichas utilidades.
<p>Si desea comprobar qué paquetes de Debian dependen de Perl pude utilizar
Reply to: