[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Linux capabilities si o no ???

El jue, 20-04-2006 a las 21:31 -0300, tq escribió:
> Hola Roberto.
> 
> Has hecho una lista con los items a tener en cuenta para asegurar un 
> servidor?
> 
> Me la podrías pasar para leer un poco?
> 
> Muchas Gracias.
> 
> Salu2.
> 
> 
> Roberto Leon Lopez wrote:
> 
> >En realidad el caso particular de las linux capabilities es un ejemplo
> >solamente.
> >
> >Sigo el manual de seguridad a la hora de configurar una debian server,
> >pero despues ves mas puntos a tener en cuenta que llegan a ser
> >innumerables, por eso te hice un listin de un monton de tecnicas para
> >asegurar el sistema.
> >
> >Llega a ser desesperante  el ver que nunca es suficiente, en linux la
> >verdad podemos hacer tanto tunning jejeje.
> >
> >Por ahora al montar mis sistemas me conformo con asegurar cada servicio,
> >buenas reglas de firewall, etc... siempre acotando el acceso al sistema.
> >El manual de seguridad de debian la verdad afronta casi todos los palos
> >a tener en cuenta.
> >
> >¿Como afrontarias tu el montar un servidor? ¿Que puntos debemos hacer
> >hincapie?
> >
> >Un saludo.
> >
> >
> >  
> >
> 

Pues mira he hecho una lista muy personal, vamos es un resumen pero lo
mejor es leer el manual de seguridad de debian y a partir de ahi dios
dira hacien que quieres avanzar como con las linux capabilities, parches
pa el kernel, temas de rsbac, selinux o apparmor, etc....


     1. CD de instalación.
        
     2. Particiones(ext3, tune2fs -c 0 -i 0m,swap).
        
     3. /etc/fstab. ro,nosuid,noexec,nodev.
        
     4. debsums.
        
     5. Shorewall.
        
     6. sysctl.conf.
        
     7. /etc/login.defs y /etc/securetty y /etc/adduser.conf(0750)
        y /etc/aliases.
        
     8. /etc/syslog.conf y /etc/logrotate.conf.
        
     9. /etc/security/limits.conf, /etc/security/access.conf(acceso
        consola)
        
    10. Desactivar /etc/inetd.conf y cualquier servicio innecesario.
        
    11. logwatch y fwlogwatch.
        
    12. chkrootkit y checksecurity.
        
    13. inittab(3 consolas,tty1 mensajes sistemas)
        
    14. portsentry.
        
    15. hdparm(tiempo antes de echar a domir los discos)
        
    16. sshd. AllowUsers usuario . PermitRootLogin no
        
    17. fail2ban(banea intentos por ssh)
        
    18. /etc/issue y /etc/issue.net
        
    19. tcp_wrappers. hosts.allow(sshd:misredes). hosts.deny(sshd:all)
        
    20. xinetd(sshd con limite en número de sesiones).  
        
    21. dhcpd,samba(hosts allow),cupsys.
        
    22. cron.allow.
        
    23. cron para backup.sh y grabardvd.sh.
        
    24. password para la bios, root y lilo/grub(Delay=0).
        
    25. BIOS arranque solo de disco duro, desactiva usb, wake on lan,
        etc..
        
    26. aide
        
    27. apt-get upgrade.
        
    28. monit.
        
    29. nmap,ntop,snort.
Reply to: