Linux-Mandrake: Manual de Referencia | ||
---|---|---|
Anterior | Capítulo 7. MSEC -- Mandrake SECurity tools (Herramientas de seguridad de Mandrake) | Siguiente |
Lo que sigue es la descripción de las características diferentes de seguridad que brinda cada nivel al sistema. Estas características son de varios tipos:
permisos sobre los archivos,
envío de mensajes de advertencia,
verificaciones de seguridad periódicas:
sobre los archivos: suid root, que se pueden escribir, sin propietario,
escucha en los puertos activos, tarjeta de red en modo promiscuous (promiscuo),
archivos de contraseña
conexiones al servidor X,
verificación de los puertos abiertos,
verificación de los servicios disponibles,
contraseña de arranque,
clientes autorizados.
Característica \ Nivel | 0 | 1 | 2 | 3 | 4 | 5 |
---|---|---|---|---|---|---|
verificación de seguridad global | sí | sí | sí | sí | ||
umask para los usuarios | 002 | 002 | 002 | 002 | 077 | 077 |
umask para root | 002 | 002 | 002 | 002 | 002 | 077 |
shell sin contraseña | sí | |||||
autorizados a conectar a X | todos | local | local | no | no | no |
usuario en grupo audio | sí | sí | sí | |||
. en el $PATH | sí | sí | ||||
advertencias en /var/log/security.log | sí | sí | sí | sí | sí | |
advertir directamente sobre tty | sí | sí | sí | sí | ||
advertencias en syslog | sí | sí | sí | sí | ||
advertencias por correo-e a root | sí | sí | sí | sí | ||
verificación archivos suid root | sí | sí | sí | sí | ||
MD5 a archivos suid root | sí | sí | sí | sí | ||
verif. archivos que se pueden escribir | sí | sí | sí | |||
verif. permisos | sí | sí | sí | |||
verif. archivos grupo suid | sí | sí | sí | |||
verif. archivos sin dueño | sí | sí | sí | |||
verif promiscua | sí | sí | sí | |||
verif. puertos abiertos | sí | sí | sí | |||
verif. integridad del archivo passwd | sí | sí | sí | |||
verif. integridad del archivo shadow | sí | sí | sí | |||
verif. seguridad sistema cada medianoche | sí | sí | sí | |||
reportar todos los eventos del sistema por /dev/tty12 | sí | sí | sí | |||
Sólo root puede ctrl-alt-del | sí | sí | ||||
servicios desconocidos desactivados | sí | sí | ||||
contraseña de arranque para (GRUB/LILO) | sí | sí | ||||
garantizar conexión desde | todos | todos | todos | todos | local | ninguno |
Nótese que seis de las diez verificaciones periódicas pueden detectar cambios sobre el sistema. Estas almacenan la configuración del sistema durante la última verificación (el día anterior) en el directorio /var/log/security/, y le advierten al administrador del sistema de cualquier cambio ocurrido entre tanto. Dichas verificaciones son las siguientes:
verificación de los archivos suid root
verificación MD5 de los archivos suid root
verificación de archivos que se pueden escribir
verificación de archivos del grupo suid
verificación de archivos sin dueño
verificación de puertos abiertos
"NFS filesystems globally exported": (Sistemas de archivos NFS exportados globalmente) esto se considera inseguro, ya que no hay restricción alguna sobre quien puede montar estos sistemas de archivos
"NFS mounts with missing nosuid": (montajes NFS a los que le falta nosuid) estos sistemas de archivos se exportan sin la opción nosuid, la cual prohíbe que se ejecuten los programas suid en la máquina.
"Host trusting files contain + sign": (Archivos de confianza a clientes que contienen el signo +) esto significa que uno de los archivos siguientes: /etc/hosts.equiv,
/etc/shosts.equiv, /etc/hosts.lpd contienen hosts autorizados a conectarse sin autenticación adecuada.
"Executables found in the aliases files": (Ejecutables encontrados en los archivos de alias) genera una advertencia nombrando a los ejecutables que pueden ser ejecutados a través /etc/aliases y /etc/postfix/aliases.
Simplemente configura la umask para los usuarios normales al valor correspondiente al nivel de seguridad.
Lo mismo, pero para root.
Se garantiza el acceso a la consola sin pedir una contraseña.
todos: cualquiera desde cualquier lugar puede abrir una ventana X en su pantalla.
local: solo las personas conectadas a su sistema pueden abrir una ventana X en su pantalla.
no: nadie puede hacer tal cosa.
Cada usuario del sistema es miembro de los grupos audio, urpmi y cdrom automáticamente. Esto significa que se garantizan algunos privilegios especiales a todos los usuarios para utilizar la placa de sonido, los paquetes, etc.
se agrega la entrada . a la variable de entorno $PATH, lo que permite una ejecución fácil de los programas en el directorio de trabajo corriente (también es, de alguna forma, un hueco de seguridad).
Cada advertencia generada por MSEC se registra en el archivo denominado /var/log/security.log.
Cada advertencia generada por MSEC se imprime directamente sobre la consola corriente.
Las advertencias de MSEC se dirigen al servicio syslog.
Las advertencias generadas por MSEC también se envían a root por correo electrónico.
Verifica el agregado o borrado de archivos suid root en el sistema. Si se encuentran tales archivos, se genera una lista de los mismos como advertencia.
Verifica la firma MD5 de cada archivo suid root que se encuentra en el sistema. Si la firma cambió, quiere decir que se ha hecho una modificación a este programa, lo cual es un signo de intrusión, posiblemente una puerta trasera. Entonces, se genera una advertencia.
Verifica los archivos que se pueden escribir por todo el mundo en el sistema. De ser así, genera una advertencia con una lista de estos archivos molestos.
Esto verifica los permisos de ciertos archivos especiales tales como .netrc o los archivos de configuración de los usuarios. También verifica los permisos de los directorios personales de los usuarios. Si los permisos son demasiado ligeros o los propietarios son inusuales, genera una advertencia.
Verifica el agregado o borrado de archivos con el grupo configurado como suid en el sistema. Si existen tales archivos, se genera una advertencia con una lista de los mismos.
Esta verificación busca archivos pertenecientes a usuarios o grupos desconocidos por el sistema. Si se encuentran tales archivos, se cambia automáticamente la pertenencia al usuario/grupo nobody (nadie).
Esta prueba verifica cada placa Ethernet para determinar si se encuentra en modo "promiscuous". Este modo le permite a la placa interceptar cada paquete recibido, incluso aquellos que no están dirigidos a ella. Podría significar que un sniffer (sabueso) está corriendo en su sistema. Nótese que esta verificación está configurada de forma tal de efectuarse una vez por minuto.
Genera una advertencia que contiene la lista de los puertos abiertos.
Verifica que cada usuario tiene una contraseña (que no esté en blanco o sea fácil de adivinar) y verifica que la misma está en el archivo shadow.
Verifica que cada usuario dentro del archivo shadow tiene una contraseña (que no esté en blanco o sea fácil de adivinar).
Todas las verificaciones previas se ejecutarán cada día a la medianoche. Esto se basa en el agregado de un script cron en el archivo crontab.
Todos los servicios que no se encuentran en el archivo denominado /etc/security/msec/init-sh/server.4 para el nivel 4 o el archivo server.5 para el nivel 5 se desactivan. No se quitan, sino que simplemente no se inician cuando se carga un runlevel. Si necesita alguno o algunos, simplemente debe agregarlos nuevamente con el utilitario chkconfig (puede ser que también los tenga que reiniciar con los scripts de inicio de init del directorio /etc/rc.d/init.d).
Hay dos comportamientos diferentes de acuerdo al cargador de arranque que Ud. utilice:
Al momento de arrancar, GRUB le pedirá la contraseña solamente si Ud. pasa opciones al núcleo manualmente. Esto permite que su sistema vuelva a arrancar por sí solo, sin la necesidad de un operador, evitando, sin embargo, que las personas no autorizadas vuelvan a iniciar la máquina de una manera inusual (por ejemplo, en el modo failsafe, a prueba de fallos).
Le permite configurar una contraseña para LILO. Evita que las personas no experimentadas vuelvan a arrancar la máquina, pero por otro lado, la máquina no va a poder arrancar por sí sola.[1]
todos: todas las computadoras se pueden conectar a los puertos abiertos.
local: solo el sistema local se puede conectar a sus propios puertos abiertos.
ninguno: ninguna computadora puede conectarse a los puertos abiertos.
[1] | Tendrá que ingresar la contraseña cada vez que necesite volver a arrancar la máquina, que no deberían ser muchas ... :-) |
Anterior | Inicio | Siguiente |
Configuración de su nivel de seguridad | Subir | Organización del árbol de archivos |