Product SiteDocumentation Site

Manual de Seguridad de Debian 3.19

Manual de Seguridad de Debian

Javier Fernández-Sanguino Peña

Aviso Legal

Copyright © 2017 | SPI inc. | This material may only be distributed subject to the terms and conditions set forth in the GNU Free Documentation License (GFDL), V1.2 or later (the latest version is presently available at http://www.gnu.org/licenses/fdl.txt).

Resumen

Este documento trata sobre la seguridad dentro del proyecto y del sistema operativo Debian. Comienza con el proceso de protección y fortalecimiento de la instalación de la distribución predeterminada de Debian GNU/Linux. También cubre algunas de las tareas comunes para configurar un entorno de red seguro utilizando Debian GNU/Linux, da información adicional sobre las herramientas de seguridad disponibles y habla sobre cómo el equipo de seguridad y auditoría hace valer la seguridad en Debian.
1. Introducción
1.1. Authors
1.2. Lugares donde encontrar este manual (diversos formatos)
1.3. Notas/Retroalimentación/Organización
1.4. Conocimiento previo
1.5. Things that need to be written (FIXME/TODO)
1.6. Credits and thanks!
2. Antes de empezar
2.1. ¿Para qué quiere su sistema?
2.2. Sea consciente de los problemas de seguridad general
2.3. ¿Cómo maneja Debian la seguridad?
3. Antes y durante la instalación
3.1. Elegir una contraseña para el BIOS
3.2. Partitioning the system
3.2.1. Elegir un esquema de particiones inteligente
3.2.2. Selecting the appropriate file systems
3.3. No se conecte a Internet hasta que no esté preparado
3.4. Establecer una contraseña para «root»
3.5. Ejecute el mínimo número de servicios requeridos
3.5.1. Deshabilitar servicios
3.5.2. Disabling inetd or its services
3.6. Install the minimum amount of software required
3.6.1. Removing Perl
3.7. Lea las listas de correo de seguridad de Debian
4. Después de la instalación
4.1. Subscribe to the Debian Security Announce mailing list
4.2. Ejecute una actualización de seguridad
4.2.1. Security update of libraries
4.2.2. Security update of the kernel
4.3. Change the BIOS (again)
4.4. Colocar una contraseña a lilo o grub
4.5. Disable root prompt on the initramfs
4.6. Eliminar el prompt de root del núcleo
4.7. Restricción del acceso a la consola
4.8. Restricting system reboots through the console
4.9. Restricting the use of the Magic SysRq key
4.10. Montando particiones de manera correcta
4.10.1. Setting /tmp noexec
4.10.2. Serie /usr leer-únicamente
4.11. Acceso seguro para los usuarios
4.11.1. Uso de la autentificación: PAM
4.11.2. Password security in PAM
4.11.3. Control de acceso de usuarios con PAM
4.11.4. Limites para los usuarios mediante PAM
4.11.5. Control de 'su' mediante PAM
4.11.6. Carpetas temporales en PAM
4.11.7. Configuración de aplicaciones genéricas de PAM
4.11.8. Limitación de recursos: archivo limits.conf
4.11.9. User login actions: edit /etc/login.defs
4.11.10. User login actions: edit /etc/pam.d/login
4.11.11. Restricting ftp: editing /etc/ftpusers
4.11.12. Uso de su
4.11.13. Uso de sudo
4.11.14. Prohibición administración remota
4.11.15. Restringiendo usuarios
4.11.16. Auditoría de usuarios
4.11.17. Repasando los perfiles del usuario
4.11.18. Setting users umasks
4.11.19. Limitar el acceso a los usuarios
4.11.20. Generación de contraseñas de usuario
4.11.21. Comprobación de contraseñas de usuarios
4.11.22. Sacando usuarios inactivos
4.12. Uso de tcpwrappers
4.13. La importancia de logs y alarmas
4.13.1. Uso y personalización de logcheck
4.13.2. Configurando el sitio donde las alertas son enviadas
4.13.3. Usar un servidor de registro
4.13.4. Permisos para el archivo de registro
4.14. Añadiendo parches al kernel
4.15. Protección contra desbordamiento de búfer
4.15.1. Parches contra el desbordamiento de búfer para el núcleo
4.15.2. Testing programs for overflows
4.16. Transferencia segura de archivos
4.17. Límites y control de los sistemas de archivos
4.17.1. Uso de Quotas
4.17.2. The ext2 filesystem specific attributes (chattr/lsattr)
4.17.3. Integridad de su sistema de archivos
4.17.4. Configuración de revisión de setuid
4.18. Conectividad de red segura
4.18.1. Características de la red configurando kernel
4.18.2. Configuring syncookies
4.18.3. Securing the network on boot-time
4.18.4. Configuarción de las características de los cortafuegos
4.18.5. Disabling weak-end hosts issues
4.18.6. Protección contra ataques ARP
4.19. Taking a snapshot of the system
4.20. Otras recomendaciones
4.20.1. No use software que dependa de svgalib
5. Asegurando los servicios que se ejecutan en su sistema
5.1. Asegurando ssh
5.1.1. Chrooting ssh
5.1.2. Ssh clients
5.1.3. Disallowing file transfers
5.1.4. Restricing access to file transfer only
5.2. Asegurando Squid
5.3. Asegurando FTP
5.4. Asegurando el acceso al sistema X Window
5.4.1. Revisar su administrador visual
5.5. Seguridad en el acceso de impresión (El asunto de lpd y lprng)
5.6. Reforzando el servidor de correo
5.6.1. Configuring a Nullmailer
5.6.2. Providing secure access to mailboxes
5.6.3. Recibiendo Correo de forma segura
5.7. Asegurando BIND
5.7.1. Bind configuration to avoid misuse
5.7.2. Changing BIND's user
5.7.3. Chrooting the name server
5.8. Asegurando Apache
5.8.1. Disabling users from publishing web contents
5.8.2. Permisos para el archivo de registro
5.8.3. Published web files
5.9. Asegurando finger
5.10. Cambio general de directorio raíz y paranoia suid
5.10.1. Making chrooted environments automatically
5.11. Texto claro general con el password paranoia
5.12. Incapacitar NIS
5.13. Securing RPC services
5.13.1. Desactivar los servicios RPC
5.13.2. Limites al acceso de servicios RPC
5.14. Añadir capacidades al cortafuegos
5.14.1. El sistema local corta fuegos
5.14.2. Usar otros corta fuegos para proteger otros sistemas
5.14.3. Configurando un cortafuegos
6. Fortalecimiento automático de sistemas Debian
6.1. Harden
6.2. Bastille Linux
7. Infrastructura de seguridad de Debian
7.1. Equipo de seguridad
7.2. Avisos de seguridad de Debian
7.2.1. Referencias cruzadas de vulnerabilidades
7.2.2. CVE compatibility
7.3. Security Tracker
7.4. Debian Security Build Infrastructure
7.4.1. Developer's guide to security updates
7.5. Firma de paquete en Debian
7.5.1. El esquema propuesto para revisiones de firma de paquete
7.5.2. Secure apt
7.5.3. Per distribution release check
7.5.4. Release check of non Debian sources
7.5.5. Alternativa firmar esquema por paquete
8. Herramientas de seguridad en Debian
8.1. Herramientas de evaluación de vulnerabilidades remotas.
8.2. Herramientas de escáner de red
8.3. Auditorías internas
8.4. Auditorías de código fuente
8.5. Redes virtuales privadas
8.5.1. Point to Point tunneling
8.6. Infraestructura de clave pública (ICP).
8.7. SSL Infrastructure
8.8. Herramientas antivirus
8.9. GPG agent
9. Developer's Best Practices for OS Security
9.1. Best practices for security review and design
9.2. Creating users and groups for software daemons
10. Antes del compromiso
10.1. Sistema seguro
10.1.1. Tracking security vulnerabilities
10.1.2. Continuously update the system
10.1.3. Avoid using the unstable branch
10.1.4. Security support for the testing branch
10.1.5. Automatic updates in a Debian GNU/Linux system
10.2. Do periodic integrity checks
10.3. Montar el descubrimiento de intrusión
10.3.1. Detección de intrusos basadas en la máquina
10.3.2. Detección de intrusos basadas en la máquina
10.4. Evitando rootkits
10.4.1. LKM - Loadable Kernel Modules (módulos cargables en el núcleo)
10.4.2. Detector de rootkits.
10.5. Ideas geniales/paranóicas — qué debe hacer
10.5.1. Construyendo un equipo trampa
11. After the compromise (incident response)
11.1. Comportamiento general
11.2. Realizar copia de seguridad del sistema
11.3. Contact your local CERT
11.4. Análisis forense
11.5. Analysis of malware
12. Preguntas Frecuentes
12.1. La seguridad en el sistema operativo Debian
12.1.1. ¿Es más seguro Debian que X?
12.1.2. My system is vulnerable! (Are you sure?)
12.2. Software específico
12.2.1. Proftpd es vulnerable a un ataque en el servicio Denial.
12.2.2. After installing portsentry, there are a lot of ports open.
12.3. Preguntas con respecto al equipo de seguridad Debian
A. Historia de revisiones
B. Appendix
B.1. El proceso de fortalecimiento es manejado paso a paso
B.2. Lista de chequeo de la configuración
B.3. Montar un IDS aislado
B.4. Setting up a bridge firewall
B.4.1. A bridge providing NAT and firewall capabilities
B.4.2. Añadir capacidades al cortafuegos
B.4.3. Basic IPtables rules
B.5. Sample script to change the default Bind installation.
B.6. Security update protected by a firewall
B.7. Chroot environment for SSH
B.7.1. Chrooting the ssh users
B.7.2. Chrooting the ssh server
B.7.3. Chroot environment for Apache
B.7.4. See also