Re: Fwd: consejos para linux

To: debian-user-spanish@lists.debian.org
Subject: Re: Fwd: consejos para linux
From: Federico Alberto Sayd <fsayd@uncu.edu.ar>
Date: Fri, 21 Nov 2008 09:16:20 -0300
Message-id: <4926A694.5010605@uncu.edu.ar>
In-reply-to: <180a49140811210235h309c0ed4p4ea779f78c3eaed7@mail.gmail.com>
References: <4925A20A.5010709@gmail.com> <79BC4AE1-6C46-4C17-B07C-530979468D56@gmail.com> <49259533.5070607@gmail.com> <180a49140811201124y254de50fpe539482082307eb6@mail.gmail.com> <49259EED.2030401@gmail.com> <20081120220922.GF1819@presea.fh.vtr.net> <180a49140811210235h309c0ed4p4ea779f78c3eaed7@mail.gmail.com>

Gonzalo Rodriguez escribió:

2008/11/20 Pablo Jiménez <pejimene@vtr.net <mailto:pejimene@vtr.net>>

    On Thu, Nov 20, 2008 at 05:31:25PM +0000, Alberto Vicat wrote:
    > Gonzalo Rodriguez escribió:
    >> Estimados,
    >>
    >> Un consejo muy util, cambien el puerto de SSH!!!! al atacante o
    >> "personaje no deseado" le va a ser mas dificil hacer un brute
    force.
    >>
    >> usen un puerto alto ejemplo 29123 siempre por ensima de 1000 o
    mejor
    >> 10000 para estar mas seguro.

    Gonzalo:

    Eso no es seguridad. Como dicen por ahi: "Security through obscurity,
    isn't". Si deseas asegurar el servicio SSH en tu equipo:

    + Limita el servicio únicamente a direcciones IP conocidas
     (netfilter/iptables es tu amigo).
    + Limita el no. de intentos de conexión ssh (openssh y
    netfilter/iptables
     son tus amigos y la receta al respecto la publicaron hace unos
    meses por
     aquí)
    + Restringe el acceso SSH sólo a usuarios/grupos de usuarios conocidos
     (OpenSSH, PAM y LDAP son tus amigos en este punto).

    Otra opción interesante puede ser emplear port knocking...

    --
    Pablo Jiménez


    --
    To UNSUBSCRIBE, email to
    debian-user-spanish-REQUEST@lists.debian.org
    <mailto:debian-user-spanish-REQUEST@lists.debian.org>
    with a subject of "unsubscribe". Trouble? Contact
    listmaster@lists.debian.org <mailto:listmaster@lists.debian.org>



Pablo,
Como dicen por ahí, una maquina segura es la que esta apagada y dentrode una caja fuerte.
Yo lo di como consejo ya que varios postearon sus logs, y como dicenen la tele en los "llamen ya":
Desde que le cambie el puerto al SSH, ya no tengo entradas invalidasen mi log!.
Como vos lo dices, otro consejo es limitar el acceso, etc.etc. pero laseguridad no va solo en limitar el ssh, si no de controlar todas lasaplicaciones que se ejetutan en tu linux que hacen y que dejan de hacer.
Si yo quisiera "ingresar" a una maquina, lo primero que haria es verque aplicaciones esta corriendo, por ejemplo si tiene apache y estetiene soporte para CGI o php si es asi probar si hay algunaaplicaciones que me permita hacer un POST via http para subir algunarchivo ejecutable, que en muchos casos es mucho mas util que teneracceso SSH.
No dije que era seguridad en ningún momento es solo un consejo, porque a Seguro se lo llevaron preso.
Saludos!.

Seguridad por oscuridad es un tipo de seguridad ahora en qué nivel conrespecto a otros métodos mucho más abajo. Si tienes el ssh corriendo enun puerto diferente los bots que tratan de conectarse al ssh en elpuerto 22 de seguro que no van a aparecer más en los logs. Pero sitienes a un tipo escanendote los puertos y hace un telnet a los puertosabiertos lo más seguro es que haga el telnet al puerto alto del ssh ysalga un banner muy lindo que diga "openssh en Debian X.XX" y listo.

Tienes derecho a limitar toda la información de tus servidores porejemplo los banners de apache, del smtp y del ssh pero eso no es unagarantía de seguridad si no en Debian vendrían desactivados por defecto.Hay más de una manera de saber si un puerto pertenece a determinadoservicio y más aún que programa y versión escucha en ese puerto.

Por eso la seguridad por oscuridad es un paso pero definitivamente no loes todo y basarse solo en ella es un craso error. La administación de laseguridad debe plantearse siempre tratando de conocer la perspectiva delatacante.


Algunas medidas que agregaría serían:

Bajar todos los servicios que no sean necesarios

Asegurar todos los servicios que sean necesarios. Estar pendiente de losfallos de seguridad, por ejemplo los famosos fallos de buffer overflow.(Que son los que dan con facilidad acceso a bash a un atacante).Usar servicios enjaulados (chroot), en especial los críticos. (Porejemplo postfix y bind vienen enjaulados en Debian).

Denegar el acceso a root por ssh
Si eres muy paranoico usar port nocking
Usar conexiones seguras para toda la información sensible

Usar claves publicas y privadas en el acceso por ssh y si se quiere másseguridad passphrases.

Desactivar la shell de los usuarios que no sean interactivos

Escribir aplicaciones web teniendo en cuenta los posibles fallos deseguridad y debilidades del lenguaje (sql injection, ldap injection, etc.)No permitir que se filtre información de la configuración interna de tured (si es interno no tienen otros por qué saberlo)


Saludos

Reply to:

References:
- Re: Fwd: consejos para linux
  - From: "Walter O. Dari" <wlinuxw@gmail.com>
- Fwd: consejos para linux
  - From: Juan Manuel Acuña Barrera <gps1mx@gmail.com>
- Re: Fwd: consejos para linux
  - From: Alberto Vicat <albertovicat@gmail.com>
- Re: Fwd: consejos para linux
  - From: Alberto Vicat <albertovicat@gmail.com>
- Re: Fwd: consejos para linux
  - From: Pablo Jiménez <pejimene@vtr.net>
- Re: Fwd: consejos para linux
  - From: "Gonzalo Rodriguez" <goxonline@gmail.com>

Prev by Date: Re: Fwd: consejos para linux
Next by Date: Re: OT: Reply en Gmail
Previous by thread: Re: Fwd: consejos para linux
Next by thread: Re: Fwd: consejos para linux
Index(es):
- Date
- Thread