[RFR] debian-doc://ddp/manuals.sgml/securing-howto/en/automatic.sgml
Documento para revisión
Un saludo
--
Manuel Parrilla Sánchez
<!-- CVS revision of original english document "1.5" -->
<chapt id="automatic-harden">Fortalecimiento automático de sistemas Debian
<p>Tras leer toda la información de los capítulos anteriores podría pensar
"Tengo que hacer una gran cantidad de cosas para reforzar mi sistema, ¿no
podrían hacerse estas cosas de forma automática?". La respuesta es sí, pero sea
cuidadoso con las herramientas de automatización. Hay gente que cree, que una
herramienta de fortalecimiento no elimina la necesidad de una buena
administración. Por tanto no se engañe pensando que puede automatizar el proceso
completo y con eso solucionar todos los asuntos relacionados. La seguridad
es siempre un proceso activo en el cual el administrador tiene que participar
y no limitarse a esperar a que las herramientas hagan todo el trabajo, puesto que
ninguna herramienta individual puede arreglárselas: con todas las posibles
implementaciones de las directrices de seguridad, con todos los ataques y en
todos los entornos.
<p>Desde woody (Debian 3.0) hay dos paquetes específicos, útiles para reforzar
la seguridad. El paquete <package>harden</package> que realiza una aproximación
basada en las dependencias del paquete para instalar rápidamente valiosos
paquetes de seguridad y eliminar otros defectuosos, la configuración de los
paquetes tiene que hacerla el administrador. El paquete
<package>bastille</package> que implementa una política de seguridad dada en el
sistema local basada en configuraciones anteriores del administrador (la
configuración puede hacerse mediante un procedimiento guiado en el que se deberá
ir contestando sí/no a preguntas sencillas).
<sect>Harden
<p>El paquete <package>harden</package> intenta hacer más sencilla la
instalación y administración de ordenadores que requieren una buena
seguridad. Este paquete debería usarse si se quiere una ayuda rápida para
mejorar la seguridad del sistema. <!-- Al hacer esto se entra en conflicto con
paquetes con vulnerabilidades conocidas, incluyendo (pero hay más): errores de
seguridad conocidos (como desbordamientos del búfer), uso de contraseñas en
texto plano, pérdida del control de acceso, etc. También--> Se instalan de forma
automática algunas herramientas que deberían mejorar la seguridad en algún
sentido: herramientas de detección de intrusiones, herramientas de análisis de
seguridad, etc. Harden instala los siguientes paquetes <em>virtuales</em> (es
decir, sin contenido, únicamente dependencias o recomendaciones sobre otros):
<list>
<item><package>harden-tools</package>: herramientas para mejorar la seguridad
del sistema (comprobadores de integridad, detección de intrusos, parches del
núcleo...)
<item><package>harden-environment</package>: ayuda a configurar un sistema
fortalecido (actualmente vacío).
<item><package>harden-servers</package>: elimina servidores considerados
inseguros por alguna razón.
<item><package>harden-clients</package>: elimina clientes considerados inseguros
por alguna razón.
<item><package>harden-remoteaudit</package>: herramientas para realizar
auditorías de un sistema de forma remota.
<item><package>harden-nids</package>: ayuda a instalar un sistema de detección
de intrusos.
<item><package>harden-surveillance</package>: ayuda a instalar herramientas para
control de redes y servicios.
</list>
Paquetes útiles que no tienen dependencias:
<list>
<item><package>harden-doc</package>: proporciona este mismo manual y otros
paquetes de documentación relacionada con la seguridad.
<item><package>harden-development</package>: herramientas de desarrollo para
crear programas más seguros.
</list>
<p>Vaya con cuidado porque si tiene software que le resulta necesario (y no
desea desinstalarlo por alguna razón) pero entra en conflicto con alguno de los
paquetes mencionados anteriormente, podría implicar limitaciones en el uso de
<package>harden</package>.
Los paquetes «harden» no hacen nada (directamente). Sin embargo, tienen
conflictos intencionados con paquetes conocidos como no seguros. De esta forma,
el sistema de gestión de paquetes de Debian no aprobará la instalación de estos
paquetes. Por ejemplo, si intenta instalar un demonio de telnet con
<package>harden-servers</package>, <package>apt</package> dirá:
<example>
# apt-get install telnetd
Se ELIMINARÁN los siguientes paquetes:
harden-servers
Se instalarán los siguientes paquetes NUEVOS:
telnetd
¿Quiere continuar? [S/n]
</example>
<p>Esto debería hacer saltar la alarma en la cabeza del administrador, llevándole
a reconsiderar sus acciones.
<sect>Bastille Linux
<p><url name="Bastille Linux" id="http://www.bastille-linux.org";> es una
herramienta de fortalecimiento automático orientada originalmente a las
distribuciones RedHat y Mandrake. Sin embargo, el paquete
<package>bastille</package> suministrado con Debian (desde woody) viene
parcheado con objeto de proporcionar la misma funcionalidad en los sitemas
Debian GNU/Linux.
<p>«Bastille» puede utilizarse con diferentes interfaces (todas documentadas en
su correspondiente página de manual en el paquete de Debian) que habilitan al
administrador a:
<list>
<item>Responder preguntas paso a paso teniendo en cuenta la seguridad deseada
para su sistema (utilizar <manref name="InteractiveBastille" section="8">)
<item>Utilizar un ajuste de seguridad predeterminado (entre tres opciones:
Relajada, Moderada o Paranoia) en una configuración dada (servidor o estación de
trabajo) y dejar que «Bastille» decida qué política de seguridad implementar
(utilizar <manref name="BastilleChooser" section="8">)
<item>Tomar un archivo de configuración predefinido (podría ser suministrado por
«Bastille» o hecho por el administrador) e implementar unas directrices de
seguridad dadas (utilizar <manref name="AutomatedBastille" section="8">)
</list>
Reply to: