Seguridad "en casa" y ¿que hacemos con lpd?

To: Lista Debian Castellano <debian-user-spanish@lists.debian.org>
Subject: Seguridad "en casa" y ¿que hacemos con lpd?
From: Manel Marin <manel3@apdo.com>
Date: Thu, 2 Nov 2000 23:15:13 +0100
Message-id: <[🔎] 20001102231513.A1086@sirius.local>
Mail-followup-to: Lista Debian Castellano <debian-user-spanish@lists.debian.org>

Hola a todos,

¿Que opinais de lo que sigue?
¿Me podeis ayudar con los *POR HACER*?



S-en-casa: (0.02) (potato)
	SEGURIDAD: Porque asegurar una instalación Debian en casa


Cambios:
0.01 1.11.00 primera versión
0.02 2.11.00 retoques



*POR HACER*
¿Que hacemos con el demonio de impresión lpd? ¿Se puede imprimir sin lpr?
¿Quizás usando el filtro y enviando a /dev/lp0 directamente?
¿Hay algo como el endurecedor de seguridad bastille para Debian?



PORQUE:

    Si no instalas ningún servicio expresamente al acabar de instalar Potato
    tienes 16 servicios activos (más o menos)

    Si conoces poco de Linux y "lo instalas todo" tendrás muchos más...

    Los servicios de Debian son muy seguros, y las configuraciones por defecto
    bastante seguras, pero aún así existe un riesgo...


RIESGO DE SEGURIDAD DE SERVICIOS ABIERTOS:

    Riesgo es la posibilidad de un daño
    
    Antes o después alguien puede descubrir un fallo de seguridad en alguno
    de los servicios que ni sabes que tienes abiertos
    Antes o después alguien creará un exploit de ese fallo
    Antes o después alguien escaneará la red buscando sistemas que comprometer

    Cualquiera que esté conectado a Internet de forma permanente y registre
    los intentos de acceso (yo lo hago) sabe que hay docenas de escaneos
    buscando sistemas con fallos de seguridad cada día

    Si tienes una conexión ADSL el riesgo es _MUCHO_ mayor, la tendencia de
    los últimos ataques de denegación de servicio distribuidos es troyanizar
    usuarios con ADSL para emplearlos como "amplificador" y creo recordar
    que precisamente los Linux eran de los más afectados


UNA RELACIÓN DE FALLOS DE SEGURIDAD:

    Debian en mi opinión es una de las distribuciones más seguras, aún así
    estos son fallos de seguridad en Debian, pero solo de los servicios activos
    por defecto, que son los que afectarían a usuarios caseros:
	(si me equivoco me lo decís)

    15.7.2000 rpc.statd		-remote root exploit-
			(Detectado *antes* de liberar Potato estable)

    9.1.2000  lpr		-root exploit-
			(Este requería de una interacción con sendmail)

    14.8.1999 cfingerd		-root exploit-
			(No afectaba al paquete deb, solo a los fuentes)


    Si el fallo de rpc.statd se hubiera descubierto dos meses más tarde
    (con Potato liberado) hubiera sido un desastre...

    De momento hemos estado seguros...


POLÍTICA CERO SERVICIOS:

    Mi opinión es que para usuarios caseros la mejor política de seguridad es
    cero servicios (cero servicios = cero riesgo)

    Si prevemos el _PEOR_ caso posible, si llega a suceder, estaremos
    preparados ;-)


POLÍTICA DE DEBIAN:

    Potato no te avisa del riesgo (creo recordar), ni te permite desactivar
    todos los servicios durante la instalación

    De momento tu decides si aceptas el riesgo o tomas algunas medidas
    preventivas, que es lo que yo recomiendo

    Creo que las distribuciones Linux deberían dar la
    opción de desactivar TODOS los servicios durante la instalación,
    no debiendo ser difícil volver a activarlos


COMO ASEGURAR (CERO SERVICIOS):

    Mira mis chuletas (miniGuias):

    S-puertos		Mirar los servicios que tienes activos
    S-inetd.conf	Cerrar inetd
    S-rpc		Cerrar el portmap
    S-X-potato		Cerrar el puerto 6000 de las X

    ¿Que hacemos con el demonio de impresión lpd?
	lpr corre como root y no se puede restringir a un interface local
	LPRng no corre como root pero tampoco se puede restringir
	    (lo he reportado como un bug)
	cupsys se puede restringir en interface pero esta verde... :-(


ALTERNATIVAS:

    Si decides tener servicios activos, ya no tienes un PC casero, tienes
    un servidor y tienes que profundizar más en la seguridad...
    Mira mis chuletas (miniGuias):

    S-tcp-wrapper	Restricción de acceso por IP _tcp-wrapper_
    S-interface		Restricción de acceso por interface
    (en desarrollo)	Cortafuegos



MAS INFO:

    El articulo de Jay
    "Why do I have to tighten security on my system? (why can't I just patch)"
    http://www.securityportal.com/topnews/tighten20000720.html
    
    Puedes encontrar más artículos de seguridad de Jay en
    http://www.bastille-linux.org/jay/
	-Bastille es un endurecedor de seguridad para RedHat y Mandrake-
	¿Hay algo como el endurecedor de seguridad bastille para Debian?


Saludos,
-- 
-------------------------------------------------
Manel Marin   e-mail: manel3@apdo.com
Linux Powered (Debian 2.2 potato)  kernel 2.2.17

Mira mis chuletas de Linux en  http://perso.wanadoo.es/manel3
-------------------------------------------------
Mi petición de drivers para Linux es la nº 33126
 (Pasate por http://www.libranet.com/petition.html ;-)

Reply to:

Follow-Ups:
- Re: Seguridad "en casa" y ¿que hacemos con lpd?
  - From: void@bio.est.unileon.es
- Re: Seguridad "en casa" y ¿que hacemos con lpd?
  - From: Hue-Bond <hue@cyberchat2000.com>
- Proyecto Bastille (era Re: Seguridad "en casa")
  - From: Javier Fdz-Sanguino Pen~a <jfs@ieeesb.etsit.upm.es>

Prev by Date: PGP
Next by Date: Re: xserver-svga 3.3.6 ¿alguien ha notado algo raro?
Previous by thread: RE:PGP
Next by thread: Re: Seguridad "en casa" y ¿que hacemos con lpd?
Index(es):
- Date
- Thread