martes, 14 de septiembre de 2010

Aspectos de seguridad en redes GNU/Linux



Es importante tener en cuenta los aspectos de seguridad en las conexiones a red, ya que una fuente de ataques importantes se produce a través de la red. Ya se hablará más sobre este tema en la unidad correspondiente a seguridad; sin embargo, hay unas cuantas recomendaciones básicas que deben tenerse en cuenta para minimizar los riesgos inmediatamente antes y después de configurar la red de nuestro ordenador:

  • No activar servicios en /etc/inetd.conf que no se utilizarán, insertar un # antes del nombre para evitar fuentes de riesgo.
  • Modificar el archivo /etc/ftpusers para denegar que ciertos usuarios puedan tener conexión vía ftp con su máquina.
  • Modificar el archivo /etc/securetty para indicar desde qué terminales (un nombre por línea), por ejemplo: tty1 tty2 tty3 tty4, se permite la conexión del superusuario (root). Desde las terminales restantes, root no podrá conectarse.
  • Utilizar el programa tcpd. Este servidor es un wrapper que permite aceptar-negar un servicio desde un determinado nodo y se coloca en el /etc/inetd.conf como intermediario de un servicio. El tcpd verifica unas reglas de acceso en dos archivos: /etc/hosts.allow /etc/host.deny.
Si se acepta la conexión, pone en marcha el servicio adecuado pasado como argumento (por ejemplo, la línea del servicio de ftp antes mostrada en inetd.conf: ftp stream tcp nowait root /usr/sbin/tcpd/usr/sbin/in.ftpd. tcpd primero busca /etc/hosts.allow y luego /etc/hosts.deny.

El archivo hosts.deny contiene las reglas de cuáles son los nodos que no tienen acceso a un servicio dentro de esta máquina. Una configuración restrictiva es ALL: ALL, ya que sólo se permitirá el acceso a los servicios desde los nodos declarados en /etc/hosts.allow.

El archivo /etc/hosts.equiv permite el acceso a esta máquina sin tener que introducir una clave de acceso (password). Se recomienda no utilizar este mecanismo y aconsejar a los usuarios no utilizar el equivalente desde la cuenta de usuario a través del archivo .rhosts.

En Debian/Ubuntu es importante configurar /etc/security/access.conf, el archivo que indica las reglas de quién y desde dónde se puede conectar (login) a esta máquina. Este archivo tiene una línea por orden con tres campos separados por ‘:’ del tipo permiso: usuarios: origen. El primero será un +o- (acceso o denegado), el segundo un nombre de usuario/s, grupo o user@host, y el tercero un nombre de un dispositivo, nodo, dominio, direcciones de nodo o de redes, o ALL.

Ejemplo de access.conf

Este comando no permite root logins sobre tty1:
         ALL EXCEPT root:tty1

Permite acceder a u1, u2, g1 y todos los de dominio remix.com:
        +:u1 u2 g1 .remix.com:ALL 

Fuente: Libro Adm. Avanzada de GNU/Linux

No hay comentarios:

Publicar un comentario