Re: Linux capabilities si o no ???
El jue, 20-04-2006 a las 21:31 -0300, tq escribió:
> Hola Roberto.
>
> Has hecho una lista con los items a tener en cuenta para asegurar un
> servidor?
>
> Me la podrías pasar para leer un poco?
>
> Muchas Gracias.
>
> Salu2.
>
>
> Roberto Leon Lopez wrote:
>
> >En realidad el caso particular de las linux capabilities es un ejemplo
> >solamente.
> >
> >Sigo el manual de seguridad a la hora de configurar una debian server,
> >pero despues ves mas puntos a tener en cuenta que llegan a ser
> >innumerables, por eso te hice un listin de un monton de tecnicas para
> >asegurar el sistema.
> >
> >Llega a ser desesperante el ver que nunca es suficiente, en linux la
> >verdad podemos hacer tanto tunning jejeje.
> >
> >Por ahora al montar mis sistemas me conformo con asegurar cada servicio,
> >buenas reglas de firewall, etc... siempre acotando el acceso al sistema.
> >El manual de seguridad de debian la verdad afronta casi todos los palos
> >a tener en cuenta.
> >
> >¿Como afrontarias tu el montar un servidor? ¿Que puntos debemos hacer
> >hincapie?
> >
> >Un saludo.
> >
> >
> >
> >
>
Pues mira he hecho una lista muy personal, vamos es un resumen pero lo
mejor es leer el manual de seguridad de debian y a partir de ahi dios
dira hacien que quieres avanzar como con las linux capabilities, parches
pa el kernel, temas de rsbac, selinux o apparmor, etc....
1. CD de instalación.
2. Particiones(ext3, tune2fs -c 0 -i 0m,swap).
3. /etc/fstab. ro,nosuid,noexec,nodev.
4. debsums.
5. Shorewall.
6. sysctl.conf.
7. /etc/login.defs y /etc/securetty y /etc/adduser.conf(0750)
y /etc/aliases.
8. /etc/syslog.conf y /etc/logrotate.conf.
9. /etc/security/limits.conf, /etc/security/access.conf(acceso
consola)
10. Desactivar /etc/inetd.conf y cualquier servicio innecesario.
11. logwatch y fwlogwatch.
12. chkrootkit y checksecurity.
13. inittab(3 consolas,tty1 mensajes sistemas)
14. portsentry.
15. hdparm(tiempo antes de echar a domir los discos)
16. sshd. AllowUsers usuario . PermitRootLogin no
17. fail2ban(banea intentos por ssh)
18. /etc/issue y /etc/issue.net
19. tcp_wrappers. hosts.allow(sshd:misredes). hosts.deny(sshd:all)
20. xinetd(sshd con limite en número de sesiones).
21. dhcpd,samba(hosts allow),cupsys.
22. cron.allow.
23. cron para backup.sh y grabardvd.sh.
24. password para la bios, root y lilo/grub(Delay=0).
25. BIOS arranque solo de disco duro, desactiva usb, wake on lan,
etc..
26. aide
27. apt-get upgrade.
28. monit.
29. nmap,ntop,snort.
Reply to: