[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Seguridad "en casa" y ¿que hacemos con lpd?

On Thu, 2 Nov 2000, Manel Marin wrote:

> Hola a todos,
> 
> ¿Que opinais de lo que sigue?
> ¿Me podeis ayudar con los *POR HACER*?
> 
> 
> 
> S-en-casa: (0.02) (potato)
> 	SEGURIDAD: Porque asegurar una instalación Debian en casa
> 
> 
> Cambios:
> 0.01 1.11.00 primera versión
> 0.02 2.11.00 retoques
> 
> 
> 
> *POR HACER*
> ¿Que hacemos con el demonio de impresión lpd? ¿Se puede imprimir sin lpr?
> ¿Quizás usando el filtro y enviando a /dev/lp0 directamente?
> ¿Hay algo como el endurecedor de seguridad bastille para Debian?
> 
> 
> 
> PORQUE:
> 
>     Si no instalas ningún servicio expresamente al acabar de instalar Potato
>     tienes 16 servicios activos (más o menos)

Si bien es cierto no está por encima de otras distribuciones que están
pensadas para instalar en un pc de sobremesa, se supone que éstas si
deberian capar servicios, ya que no instalan en algunos caso ni gcc ni
librerias de desarrollo, que sigan quitando cosas utiles , o simplemnte
curiosas :))
> 
>     Si conoces poco de Linux y "lo instalas todo" tendrás muchos más...
> 
>     Los servicios de Debian son muy seguros, y las configuraciones por defecto
>     bastante seguras, pero aún así existe un riesgo...
> 
Bueno , pero proteger a los usuarios de sus decisiones es complicado ,
desconozco si el problema que planteas se da en todos los escenarios, pero
evidentemente si alguien elige una instalación de servidor es porque se
supone que quiere dar servicios. no ?. ¿ Pasa esto que nos cuentas con la
instalación en la que no se elige esta opción?. Si es asi seria planteable
que debconfig dijera algo , en otro caso...
>
> RIESGO DE SEGURIDAD DE SERVICIOS ABIERTOS: 
> >     Riesgo es la  posibilidad de un daño
>     
>     Antes o después alguien puede descubrir un fallo de seguridad en alguno
>     de los servicios que ni sabes que tienes abiertos
>     Antes o después alguien creará un exploit de ese fallo
>     Antes o después alguien escaneará la red buscando sistemas que comprometer
> 
>     Cualquiera que esté conectado a Internet de forma permanente y registre
>     los intentos de acceso (yo lo hago) sabe que hay docenas de escaneos
>     buscando sistemas con fallos de seguridad cada día
> 
>     Si tienes una conexión ADSL el riesgo es _MUCHO_ mayor, la tendencia de
>     los últimos ataques de denegación de servicio distribuidos es troyanizar
>     usuarios con ADSL para emplearlos como "amplificador" y creo recordar
>     que precisamente los Linux eran de los más afectados
> 

Volvemos a lo de siempre , en mi modesta opinión los usuarios ya tienen
madre, y no será por documentación... Soy partidario de facilitar la vida
en la medida de lo posible a los usuarios novele.. pero... debe pagar el
precio toda la comunidad ? :))
¿Les esta haciendo un favor cuando fomentas falsas sensaciones de
seguridad y la casi total despreocupación por lo que su sistema ha
instalado, y por lo que hace al arrancar ?
Quién me conozca sabrá bien que este no es un comentario sectario , ni
progurú, pero nos guste o no debian esta lejos de ser una distribución
típica de dale a ok, básicamente lo es , pero en algunos momentos es
interesante leer lo que aceptas,, muchos mensajes relacionados con la
seguridad de algunos paquetes y las alternativas aparecen de esta forma
durante la instalación.

> > UNA RELACIÓN DE FALLOS DE SEGURIDAD:
> 
>     Debian en mi opinión es una de las distribuciones más seguras, aún así
>     estos son fallos de seguridad en Debian, pero solo de los servicios activos
>     por defecto, que son los que afectarían a usuarios caseros:
> 	(si me equivoco me lo decís)
> 
>     15.7.2000 rpc.statd		-remote root exploit-
> 			(Detectado *antes* de liberar Potato estable)
> 
>     9.1.2000  lpr		-root exploit-
> 			(Este requería de una interacción con sendmail)
> 
>     14.8.1999 cfingerd		-root exploit-
> 			(No afectaba al paquete deb, solo a los fuentes)
> 
Creo ademas que no se instala por defecto...
> 
>     Si el fallo de rpc.statd se hubiera descubierto dos meses más tarde
>     (con Potato liberado) hubiera sido un desastre...

que hubieras tenido el paquete corregido al dia siguiente en
security.debian.org, un apt-get update && apt-get -y upgrade en un cron
con las pretinentes líneas en el /etc/sources.list..

deb http://security.debian.org/debian-security potato/updates main \
contrib non-free
deb http://security.debian.org/debian-non-US potato/non-US main \
contrib non-free
> 
>     De momento hemos estado seguros...
Espero que desde hoy duermas mas tranquilo desde hoy :PP

> 
> 
> POLÍTICA CERO SERVICIOS:
> 
>     Mi opinión es que para usuarios caseros la mejor política de seguridad es
>     cero servicios (cero servicios = cero riesgo)

Cero lo que se dice cero...
> 
>     Si prevemos el _PEOR_ caso posible, si llega a suceder, estaremos
>     preparados ;-)
> 
Nunca se está preparado para lo peor, para lo casí peor...

> 
> POLÍTICA DE DEBIAN:
> 
>     Potato no te avisa del riesgo (creo recordar), ni te permite desactivar
>     todos los servicios durante la instalación
> 
>     De momento tu decides si aceptas el riesgo o tomas algunas medidas
>     preventivas, que es lo que yo recomiendo
> 
>     Creo que las distribuciones Linux deberían dar la
>     opción de desactivar TODOS los servicios durante la instalación,
>     no debiendo ser difícil volver a activarlos

Es una alternativa para un pc casero, es cierto
> 
> 
> COMO ASEGURAR (CERO SERVICIOS):
> 
>     Mira mis chuletas (miniGuias):
> 
>     S-puertos		Mirar los servicios que tienes activos
>     S-inetd.conf	Cerrar inetd
>     S-rpc		Cerrar el portmap
>     S-X-potato		Cerrar el puerto 6000 de las X
> 
>     ¿Que hacemos con el demonio de impresión lpd?
> 	lpr corre como root y no se puede restringir a un interface local
> 	LPRng no corre como root pero tampoco se puede restringir
> 	    (lo he reportado como un bug)
> 	cupsys se puede restringir en interface pero esta verde... :-(
> 
Que me dices del tcpserver del por estos lares a veces criticado djb ?
permite restringir servicios a interfaces...
O un paquetito de los muchos existentes para cerrar bajo tutela el kiosco
casi a cal y canto con ipchains o netfilter ??


> 
> ALTERNATIVAS:
> 
>     Si decides tener servicios activos, ya no tienes un PC casero, tienes
>     un servidor y tienes que profundizar más en la seguridad...
>     Mira mis chuletas (miniGuias):
> 
>     S-tcp-wrapper	Restricción de acceso por IP _tcp-wrapper_
>     S-interface		Restricción de acceso por interface
>     (en desarrollo)	Cortafuegos
> 

Hummm , no soy un visionario , solo tengo mala memoria , lo de arriba iba
aquí :))
> 
> 
> MAS INFO:
> 
>     El articulo de Jay
>     "Why do I have to tighten security on my system? (why can't I just patch)"
>     http://www.securityportal.com/topnews/tighten20000720.html
>     
>     Puedes encontrar más artículos de seguridad de Jay en
>     http://www.bastille-linux.org/jay/
> 	-Bastille es un endurecedor de seguridad para RedHat y Mandrake-
> 	¿Hay algo como el endurecedor de seguridad bastille para Debian?
> 

Debian es su concpeto es bastante mas espartana que los sombreros :))
Echale un ojo al LASG del a veces desinformado Kurt Seigfried ( pues si me
dolio musso su artículo en security portal , por cierto, alguien ha visto
que haya hecho lo mismo con bughat 7 ?, no es un mensaje subliminal ni una
pataleta , es solo un tema pra la reflexión ).
Por otro lado hasta el GARL aconseja sabias políticas de seguridad a
aplicar en un pc casero, es cierto que se puede facilitar el acceso a la
información , pero no se puede obligar a nadie a leer....


Lo dicho , un saludo y suerte :))

Por cierto , busca en freshmeat gibraltar , es una debian modificada y
optimizaeda para correr en sistemas que hacen de router con la mayor parte
del sistema de archivos en sólo lectura y evidentemente muy capadita de
servicios.
Reply to: