Sin cambios desde el RFR. Saludos -- Laura Arjona https://wiki.debian.org/LauraArjona
#use wml::debian::template title="Directrices de priorización para auditorÃa de paquetes " #use wml::debian::recent_list #use wml::debian::translation-check translation="1.14" maintainer="juanma" <p>Al realizar una auditorÃa de la distribución Debian, uno de los primeros problemas es decidir qué paquetes hay que examinar.</p> <p>De forma ideal, todos los paquetes se deberÃan examinar, pero debido al enorme tamaño del archivo, tiene que haber una forma sencilla de priorizar el trabajo.</p> <p>Las primeras directrices para el examen de los paquetes son:</p> <ol> <li>Cualquier binario que esté instalado con setuid o setgid.</li> <li>Cualquiera que proporcione un servicio de red.</li> <li>Cualquier CGI o guión PHP accesible de forma remota.</li> <li>Cualquiera que tenga un trabajo de cron o cualquier guión automático que funcione con privilegios de root.</li> </ol> <p>Los paquetes populares deberÃan tener una prioridad mayor, porque cualquier problema en ellos afectará a un gran número de usuarios.</p> <p>El <a href="http://popcon.debian.org/">concurso de popularidad de Debian</a> mantiene una encuesta continuada que muestra qué paquetes son más populares entre los voluntarios que realizan la encuesta.</p> <p>En particular, eche un vistazo a los <a href="http://popcon.debian.org/by_vote">paquetes ordenados por votos</a>. La lista <q>por votos</q> ordena los paquetes según su frecuencia de uso entre los participantes en la encuesta.</p> <p>Si la seguridad de un paquete es importante, aún lo es más si cumple alguno de los criterios de arriba. Y si además es popular (según alguna encuesta como esta), <em>definitivamente</em> es un candidato a la revisión.</p> <h2>Binarios <tt>setuid</tt> y <tt>setgid</tt>.</h2> <p>Los binarios <tt>setuid</tt> y <tt>setgid</tt> son los objetivos tradicionales de las auditorÃas de seguridad, porque un binario vulnerable comprometido con estos permisos puede provocar que un usuario local obtenga acceso a privilegios que no le pertenecen.</p> <p>Para ayudar a buscar, aquà hay una lista con todos los binarios con setuid y setgid que hay en la versión actual estable.</p> <ul> <li><a href="http://lintian.debian.org/tags/setuid-binary.html">Informe de Lintian de binarios Setuid en Debian</a></li> <li><a href="http://lintian.debian.org/tags/setgid-binary.html">Informe de Lintian de binarios Setgid en Debian</a></li> # POR HACER («TODO») (jfs): lo de arriba no proporciona la misma información que estaba # disponible en http://shellcode.org/Setuid/ # ¿preguntar a Steve Kemp sobre mover esta caracterÃstica a una máquina administrada # por Debian? # (o al proyecto de Alioth) # </ul> <p>Cuando vaya a elegir los binarios, es importante que recuerde que estos binarios son más sensibles a cuestiones de seguridad que los otros. Los binarios setuid(root) se deberÃan examinar antes que, por ejemplo, los setgid(games) y setuid(bugs).</p> <h2>Servidores de red</h2> <p>Los servidores de red son otra fuente de inspiración obvia cuando se realiza una auditorÃa de seguridad. Son problemas que podrÃan aprovechar los atacantes para comprometer las máquinas de forma remota.</p> <p>Los compromisos remotos son generalmente mucho más severos que los locales.</p> <h2>Guiones en lÃnea</h2> <p>Los guiones en lÃnea, especialmente los guiones CGI, son del mismo tipo que los de los servidores de red. Aunque su propio servidor sea seguro, los guiones que corren en él también son importantes.</p> <p>Un error en un guión que esté disponible en la red es tan serio como un error en un servidor que esté escuchando conexiones. Ambos podrÃan comprometer su máquina.</p> <h2>Trabajos de cron y servicios del sistema</h2> <p>Aunque no hay muchos, lo mejor es echar un vistazo a los guiones automáticos, trabajos de cron, etc., que están incluidos en el paquete.</p> <p>Muchas cosas de soporte corren como root de forma predeterminada para limpiar archivos de registro, etc.</p> <p>El éxito en el aprovechamiento de un ataque de enlace simbólico podrÃa derivar en un compromiso local.</p>
Attachment:
0x7E4AF4A3.asc
Description: application/pgp-keys
Attachment:
signature.asc
Description: OpenPGP digital signature