13.3. Los niveles de seguridad en detalle

Aquí vamos a revisar los detalles de los tres niveles de seguridad: Relajada, Moderada y Paranoica que se usan en la configuración de los niveles de seguridad durante la instalación o más adelante usando BastilleChooser.

13.3.1. Configuración de Estación de trabajo

13.3.1.1. Nivel de seguridad Relajada

  • Sin cortafuegos

  • Deshabilita el estado SUID a las herramientas de servidor de noticias y a DOSEMU

  • Vuelve a configurar la contraseña - se deshabilitarán las cuentas antiguas en desuso, aunque se avisará a los dueños

  • Protege con contraseña el modo de usuario único

  • Aplica los límites a cualquier uso de recurso de programa/usuario, para bloquear los ataques de Servicios.

  • Configura el registrado adicional

  • Desactiva el demonio servidor DHCP

  • Deshabilita los demonios SNMP

  • Deshabilita los comandos de "data mining" VRFY/EXPN en Sendmail

  • Desactiva el servidor DNS

  • Desactiva el servidor Apache

  • Desactiva las Inclusiones del Lado del Servidor (SSI) de Apache

  • Configura la umask en 022

  • Configura el nivel de seguridad en 2

  • Aplica nivel 2 de permisos de archivo

  • Prohíbe "." en la variable PATH

  • Desactiva telnet

  • Desactiva FTP

  • Activa las verificaciones de seguridad

13.3.1.2. Nivel de seguridad Moderada

  • Cortafuegos moderado

  • Deshabilita el estado SUID de dump, restore, cardctl, rsh, rlogin y rcp

  • Deshabilita el estado SUID de las herramientas de servidor de noticias y DOSEMU

  • Deshabilita el acceso por rsh/rlogin a esta máquina

  • Configura la "edad" de las contraseñas - se deshabilitarán las cuentas antiguas sin uso, aunque se avisará a los dueños

  • Protege con contraseña el modo de usuario único

  • Aplica los límites de uso de recursos para cualquier programa/usuario, para bloquear los ataques de Negación de Servicio (DoS).

  • Configura el registrado adicional

  • Desactiva el demonio APMd

  • Deshabilita NFS y Samba

  • Deshabilita GPM

  • Desactiva el demonio servidor de DHCP

  • Deshabilita los demonios SNMP

  • Desactiva el modo de escucha de red de Sendmail, de forma tal que esta estación de trabajo no sirva como un servidor de correo

  • Deshabilita los comandos de "data mining" VRFY/EXPN en Sendmail

  • Desactiva el servidor DNS

  • Desactiva el servidor Apache

  • Desactiva las Inclusiones del Lado del Servidor (SSI) de Apache

  • Configura la umask en 022

  • Configura el nivel de seguridad en 3

  • Aplica nivel 3 de permisos de archivo

  • Prohíbe "." en la variable PATH

  • Desactiva telnet

  • Desactiva FTP

  • Desactiva el modo anónimo de FTP

  • Activa las verificaciones de seguridad

  • Aplica la protección TPMDIR

13.3.1.3. Nivel de seguridad Paranoica

  • Cortafuegos estricto

  • Deshabilita el estado SUID de mount, umount, ping, at, usernetctl, y traceroute

  • Deshabilita el estado SUID a dump, restore, cardctl, rsh, rlogin y rcp

  • Deshabilita el estado SUID a las herramientas de servidor de noticias y a DOSEMU

  • Deshabilita el acceso rsh/rlogin a esta máquina

  • Restringe el uso de cron a la cuenta root

  • Deshabilita el script de inicio de PCMCIA

  • Configura la "edad" de las contraseñas - se deshabilitarán las cuentas antiguas sin uso, aunque se avisará a los dueños

  • Protege con contraseña al modo de usuario único

  • Aplica los límites de uso de recursos a cualquier programa/usuario para bloquear los ataques de Negación de Servicio (DoS).

  • Configura el registrado adicional

  • Desactiva el demonio APMd

  • Deshabilita NFS y Samba

  • Deshabilita GPM

  • Desactiva el demonio servidor DHCP

  • Deshabilita los demonios SNMP

  • Desactiva el modo de escucha de red de Sendmail, de forma tal que esta estación de trabajo no pueda servir como servidor de correo

  • Deshabilita los comandos de "data mining" VRFY/EXPN en Sendmail

  • Desactiva el servidor DNS

  • Desactiva el servidor Apache

  • Desactiva las Inclusiones del Lado del Servidor (SSI) de Apache

  • Desactiva el comportamiento del servidor Apache de seguir los vínculos simbólicos

  • Desactiva los CGI del servidor Apache

  • Desactiva todos los demonios que quedan, excepto crond, syslog, keytable, network, gpm, xfs y pcmcia

  • Configura la umask en 077

  • Configura el nivel de seguridad en 4

  • Aplica el nivel 4 de permisos de archivo

  • Prohíbe "." en la variable PATH

  • Desactiva telnet

  • Desactiva FTP

  • Desactiva el modo anónimo de FTP

  • Deshabilita el modo usuario de FTP

  • Activa las verificaciones de seguridad

  • Aplica la protección TPMDIR

13.3.2. Configuración del Servidor

Las configuraciones del servidor incluyen tres niveles de seguridad. Los mismos comienzan con los servicios mayores siguientes apagados: DNS, Correo, web, FTP y DHCP. Luego los modifican basándose en el tipo de servicio, entre los cinco mayores, que pide el usuario.

13.3.2.1. Nivel de seguridad Relajado

  • Sin cortafuegos

  • Deshabilita el estado SUID para dump/restore, cardctl, dosemu, programas de servidor de noticias

  • Fuerza la "edad" de las contraseñas

  • Protege con contraseña el modo de usuario único

  • Agrega el registrado adicional

  • Deshabilita apmd, NFS, Samba, pcmcia, servidor DHCP, servidor de noticias, demonios de ruteo, NIS, SNMPD

  • Deshabilita los comandos de "data mining" VRFY/EXPN en Sendmail

  • Desactiva named (DNS)

  • Desactiva Apache (web)

  • Desactiva las Inclusiones del Lado del Servidor (SSI) de Apache

  • Configura la umask en 022

  • Configura el nivel de seguridad en 2

  • Aplica el nivel 2 de permisos de archivo

  • Desactiva telnet

  • Desactiva FTP

  • Activa las verificaciones de seguridad

13.3.2.2. Nivel de seguridad Moderada

  • Cortafuegos moderado

  • Deshabilita el estado SUID para dump/restore, cardctl, dosemu, programa de servidor de noticias

  • Deshabilita el estado SUID para rsh, rlogin

  • Deshabilita la autenticación basada en rhost

  • Fuerza la "edad" de las contraseñas

  • Proteger con contraseña el modo de usuario único

  • Agrega el registrado adicional

  • Deshabilita apmd, NFS, Samba, pcmcia, servidor DHCP, servidor de noticias, demonios de ruteo, NIS, SNMPD

  • Deshabilita GPM

  • Deshabilita los comandos de "data mining" VRFY/EXPN en Sendmail

  • Desactiva named (DNS)

  • Desactiva Apache (web)

  • Desactiva las Inclusiones del Lado del Servidor (SSI) de Apache

  • Desactiva la ejecución de scripts CGI en Apache

  • Deshabilita el modo usuario de FTP

  • Deshabilita el modo anónimo de FTP

  • Configura la umask en 022

  • Configura el nivel de seguridad en 3

  • Aplica el nivel 3 de permisos de archivo

  • Prohíbe "." en la variable PATH

  • Desactiva telnet

  • Desactiva FTP

  • Activa las verificaciones de seguridad

13.3.2.3. Nivel de seguridad Paranoica

  • Cortafuegos fuerte

  • Deshabilita el estado SUID para dump/restore, cardctl, dosemu, programas de servidor de noticias

  • Deshabilita estado SUID para rsh, rlogin

  • Deshabilita estado SUID para mount, umount, ping, at, usernetctl, traceroute

  • Deshabilita la autenticación basada en rhost

  • Deshabilita el uso de cron para todos excepto root

  • Fuerza la "edad" de las contraseñas

  • Fuerza los límites sobre los recursos para evitar ataques de Negación de Servicio (DoS)

  • Protege con contraseña el modo de usuario único

  • Agrega el registrado adicional

  • Deshabilita apmd, NFS, Samba, pcmcia, servidor DHCP, servidor de noticias, demonios de ruteo, NIS, SNMPD

  • Deshabilita GPM

  • Deshabilita los comandos de "data mining" VRFY/EXPN en Sendmail

  • Desactiva named (DNS)

  • Desactiva Apache (web)

  • Desactiva las Inclusiones del Lado del Servidor (SSI) de Apache

  • Desactiva la ejecución de scripts CGI en Apache

  • Desactiva el seguimiento de Apache de los vínculos simbólicos

  • Deshabilita la impresión

  • Deshabilita el modo usuario de FTP

  • Deshabilita el modo anónimo de FTP

  • Activa la protección TMPDIR

  • Configura la umask en 077

  • Configura el nivel de seguridad en 4

  • Aplica el nivel 4 de permisos de archivo

  • Prohíbe "." en la variable PATH

  • Desactiva telnet

  • Desactiva FTP

  • Activa verificaciones de seguridad


Tux sobre Estrella por MandrakeSoft Linux es una marca registrada de Linus Torvalds. Todas las otras marcas registradas y copyrights son la propiedad de sus respectivos dueños.
A menos que se diga lo contrario, todo el contenido de estas páginas y todas las imágenes tienen Copyright de MandrakeSoft S.A. y de MandrakeSoft Inc. 2001.
http://www.mandrakelinux.com/