Seguridad "en casa" y ¿que hacemos con lpd?
Hola a todos,
¿Que opinais de lo que sigue?
¿Me podeis ayudar con los *POR HACER*?
S-en-casa: (0.02) (potato)
SEGURIDAD: Porque asegurar una instalación Debian en casa
Cambios:
0.01 1.11.00 primera versión
0.02 2.11.00 retoques
*POR HACER*
¿Que hacemos con el demonio de impresión lpd? ¿Se puede imprimir sin lpr?
¿Quizás usando el filtro y enviando a /dev/lp0 directamente?
¿Hay algo como el endurecedor de seguridad bastille para Debian?
PORQUE:
Si no instalas ningún servicio expresamente al acabar de instalar Potato
tienes 16 servicios activos (más o menos)
Si conoces poco de Linux y "lo instalas todo" tendrás muchos más...
Los servicios de Debian son muy seguros, y las configuraciones por defecto
bastante seguras, pero aún así existe un riesgo...
RIESGO DE SEGURIDAD DE SERVICIOS ABIERTOS:
Riesgo es la posibilidad de un daño
Antes o después alguien puede descubrir un fallo de seguridad en alguno
de los servicios que ni sabes que tienes abiertos
Antes o después alguien creará un exploit de ese fallo
Antes o después alguien escaneará la red buscando sistemas que comprometer
Cualquiera que esté conectado a Internet de forma permanente y registre
los intentos de acceso (yo lo hago) sabe que hay docenas de escaneos
buscando sistemas con fallos de seguridad cada día
Si tienes una conexión ADSL el riesgo es _MUCHO_ mayor, la tendencia de
los últimos ataques de denegación de servicio distribuidos es troyanizar
usuarios con ADSL para emplearlos como "amplificador" y creo recordar
que precisamente los Linux eran de los más afectados
UNA RELACIÓN DE FALLOS DE SEGURIDAD:
Debian en mi opinión es una de las distribuciones más seguras, aún así
estos son fallos de seguridad en Debian, pero solo de los servicios activos
por defecto, que son los que afectarían a usuarios caseros:
(si me equivoco me lo decís)
15.7.2000 rpc.statd -remote root exploit-
(Detectado *antes* de liberar Potato estable)
9.1.2000 lpr -root exploit-
(Este requería de una interacción con sendmail)
14.8.1999 cfingerd -root exploit-
(No afectaba al paquete deb, solo a los fuentes)
Si el fallo de rpc.statd se hubiera descubierto dos meses más tarde
(con Potato liberado) hubiera sido un desastre...
De momento hemos estado seguros...
POLÍTICA CERO SERVICIOS:
Mi opinión es que para usuarios caseros la mejor política de seguridad es
cero servicios (cero servicios = cero riesgo)
Si prevemos el _PEOR_ caso posible, si llega a suceder, estaremos
preparados ;-)
POLÍTICA DE DEBIAN:
Potato no te avisa del riesgo (creo recordar), ni te permite desactivar
todos los servicios durante la instalación
De momento tu decides si aceptas el riesgo o tomas algunas medidas
preventivas, que es lo que yo recomiendo
Creo que las distribuciones Linux deberían dar la
opción de desactivar TODOS los servicios durante la instalación,
no debiendo ser difícil volver a activarlos
COMO ASEGURAR (CERO SERVICIOS):
Mira mis chuletas (miniGuias):
S-puertos Mirar los servicios que tienes activos
S-inetd.conf Cerrar inetd
S-rpc Cerrar el portmap
S-X-potato Cerrar el puerto 6000 de las X
¿Que hacemos con el demonio de impresión lpd?
lpr corre como root y no se puede restringir a un interface local
LPRng no corre como root pero tampoco se puede restringir
(lo he reportado como un bug)
cupsys se puede restringir en interface pero esta verde... :-(
ALTERNATIVAS:
Si decides tener servicios activos, ya no tienes un PC casero, tienes
un servidor y tienes que profundizar más en la seguridad...
Mira mis chuletas (miniGuias):
S-tcp-wrapper Restricción de acceso por IP _tcp-wrapper_
S-interface Restricción de acceso por interface
(en desarrollo) Cortafuegos
MAS INFO:
El articulo de Jay
"Why do I have to tighten security on my system? (why can't I just patch)"
http://www.securityportal.com/topnews/tighten20000720.html
Puedes encontrar más artículos de seguridad de Jay en
http://www.bastille-linux.org/jay/
-Bastille es un endurecedor de seguridad para RedHat y Mandrake-
¿Hay algo como el endurecedor de seguridad bastille para Debian?
Saludos,
--
-------------------------------------------------
Manel Marin e-mail: manel3@apdo.com
Linux Powered (Debian 2.2 potato) kernel 2.2.17
Mira mis chuletas de Linux en http://perso.wanadoo.es/manel3
-------------------------------------------------
Mi petición de drivers para Linux es la nº 33126
(Pasate por http://www.libranet.com/petition.html ;-)
Reply to: