[RFR] wml://security/audit/packages.wml
Saludos
--
Laura Arjona
https://wiki.debian.org/LauraArjona
#use wml::debian::template title="Directrices de priorización para auditorÃa de paquetes "
#use wml::debian::recent_list
#use wml::debian::translation-check translation="1.14" maintainer="juanma"
<p>Al realizar una auditorÃa de la distribución Debian, uno de los primeros
problemas es decidir qué paquetes hay que examinar.</p>
<p>De forma ideal, todos los paquetes se deberÃan examinar, pero debido al
enorme tamaño del archivo, tiene que haber una forma sencilla de priorizar
el trabajo.</p>
<p>Las primeras directrices para el examen de los paquetes son:</p>
<ol>
<li>Cualquier binario que esté instalado con setuid o setgid.</li>
<li>Cualquiera que proporcione un servicio de red.</li>
<li>Cualquier CGI o guión PHP accesible de forma remota.</li>
<li>Cualquiera que tenga un trabajo de cron o cualquier guión automático que
funcione con privilegios de root.</li>
</ol>
<p>Los paquetes populares deberÃan tener una prioridad mayor, porque cualquier
problema en ellos afectará a un gran número de usuarios.</p>
<p>El <a href="http://popcon.debian.org/">concurso de popularidad de
Debian</a> mantiene una encuesta continuada que muestra qué paquetes son
más populares entre los voluntarios que realizan la encuesta.</p>
<p>En particular, eche un vistazo a los <a
href="http://popcon.debian.org/by_vote">paquetes ordenados por votos</a>.
La lista <q>por votos</q> ordena los paquetes según su frecuencia de uso entre los
participantes en la encuesta.</p>
<p>Si la seguridad de un paquete es importante, aún lo es más si cumple alguno
de los criterios de arriba. Y si además es popular (según alguna encuesta
como esta), <em>definitivamente</em> es un candidato a la revisión.</p>
<h2>Binarios <tt>setuid</tt> y <tt>setgid</tt>.</h2>
<p>Los binarios <tt>setuid</tt> y <tt>setgid</tt> son los objetivos
tradicionales de las auditorÃas de seguridad, porque un binario vulnerable
comprometido con estos permisos puede provocar que un usuario local obtenga
acceso a privilegios que no le pertenecen.</p>
<p>Para ayudar a buscar, aquà hay una lista con todos los binarios con setuid
y setgid que hay en la versión actual estable.</p>
<ul>
<li><a href="http://lintian.debian.org/tags/setuid-binary.html">Informe de Lintian
de binarios Setuid en Debian</a></li>
<li><a href="http://lintian.debian.org/tags/setgid-binary.html">Informe de Lintian
de binarios Setgid en Debian</a></li>
# POR HACER («TODO») (jfs): lo de arriba no proporciona la misma información que estaba
# disponible en http://shellcode.org/Setuid/
# ¿preguntar a Steve Kemp sobre mover esta caracterÃstica a una máquina administrada
# por Debian?
# (o al proyecto de Alioth)
#
</ul>
<p>Cuando vaya a elegir los binarios, es importante que recuerde que estos
binarios son más sensibles a cuestiones de seguridad que los otros. Los
binarios setuid(root) se deberÃan examinar antes que, por ejemplo, los
setgid(games) y setuid(bugs).</p>
<h2>Servidores de red</h2>
<p>Los servidores de red son otra fuente de inspiración obvia cuando se
realiza una auditorÃa de seguridad. Son problemas que podrÃan aprovechar
los atacantes para comprometer las máquinas de forma remota.</p>
<p>Los compromisos remotos son generalmente mucho más severos que los
locales.</p>
<h2>Guiones en lÃnea</h2>
<p>Los guiones en lÃnea, especialmente los guiones CGI, son del mismo tipo
que los de los servidores de red. Aunque su propio servidor sea seguro, los
guiones que corren en él también son importantes.</p>
<p>Un error en un guión que esté disponible en la red es tan serio como un
error en un servidor que esté escuchando conexiones. Ambos podrÃan
comprometer su máquina.</p>
<h2>Trabajos de cron y servicios del sistema</h2>
<p>Aunque no hay muchos, lo mejor es echar un vistazo a los guiones
automáticos, trabajos de cron, etc., que están incluidos en el paquete.</p>
<p>Muchas cosas de soporte corren como root de forma predeterminada para
limpiar archivos de registro, etc.</p>
<p>El éxito en el aprovechamiento de un ataque de enlace simbólico podrÃa
derivar en un compromiso local.</p>
Reply to: