Nociones basicas de seguridad en l inux
-
Upload
victor-orozco -
Category
Technology
-
view
582 -
download
1
description
Transcript of Nociones basicas de seguridad en l inux
- 1. Nociones basicas de seguridad en GNU/Linux Victor Leonel Orozco Lpez Presentacion elaborada a partir del material de: Rene Mayorga - Debian-sv
2. Quien soy?
- En el software libre
-
-
- Usuario GNU/Linux desde 2003 (cualquiera que se imaginen)
- 3. Tiempo completo desde 2006 (Gentoo)
-
- 4. Administrador de sistemas desde el 2006
En software
-
- Certificado por tata consulting services como DBA en oracle
- 5. Desarollo de aplicacines en J2EE desde el 2008
- Experimentando siempre con free software (solaris, bsd y lo que venga)
Miembro de lugusac, slgt y fundador del grupo de usuarios Linux de San Marcos 6. Adicto a la cafeina, rss y la buena musica 7. Agenda
- Que es GNU/Linux?
8. Es importante? 9. Principios de seguridad 10. Algunos consejos 11. GNU/Linux
- Sistema operativo
12. Utilidades 13. Un sistema libre inspirado en UNIX 14. Cuatro libertades (compartir, estudiar, modificar y redistribuir) 15. Es importante
- Empresas como:
16. Yahoo 17. Wordpress 18. Hi5 Todas estas empresas dan fe de que esto no es asi, incluso uds. podrian estar utilizando software libre 19. Asegurar al 100% un servidor
- Como asegurar al 100% un servidor?
- Ideas?
20. Asegurar al 100% un servidor
- Como asegurar al 100% un servidor?
- Ideas?
Facil!!!. Desconectando el cable de energia y asegurandolo dentro de una caja fuerte. 21. Asegurar al 100% un servidor
- Como asegurar al 100% un servidor?
- Ideas?
Facil!!!. Desconectando el cable de energia y asegurandolo dentro de una caja fuerte.
- Y aun asi podrian penetrar la caja y robar nuestra informacin
22. Principios de seguridad
- Principio # 0
23. Siempre seremos blanco de ataque. 24. Principios de seguridad
- Principio # 0
25. Siempre seremos blanco de ataque.
- botnets
26. zombies 27. pr0n, ancho de banda 28. Principios de seguridad
- Principio # 1
29. El sistema operativo es tan seguro como nosotros querramos. 30. Principios de seguridad
- Principio # 1
31. El sistema operativo es tan seguro como nosotros querramos.
- Pero hay sistemas que no ayudan ;).
Facilidad Seguridad 32. Principios de seguridad
- Principio # 2
33. Pensar siempre en el*que necesito que haga*no que software voy a utilizar 34. Principios de seguridad
- Principio # 2
35. Pensar siempre en el*que necesito que haga*no que software voy a utilizar
- Por ejemplo NO necesito chat, musica o entorno grafico?, solo necesito que el software funcine.
36. Los sistemas base y distribuciones normales son buena opcin (debian, red hat) 37. Principios de seguridad
- Principio # 3
38. Nunca esta de ms particionar 39. Principios de seguridad
- De lo comodo a lo incomodo
/ (raiz) 40. Principios de seguridad
- De lo comodo a lo incomodo
/ (raiz) /home /usr /tmp 41. Porque?
- Ideas?
42. Porque?
- Ideas?
- Se propaga menos el dao
43. Mejor control 44. Para eso se hicieron las particiones 45. CONTROL DE PERMISOS 46. Porque?
- Ideas?
- Se propaga menos el dao
47. Mejor control 48. Para eso se hicieron las particiones 49. CONTROL DE PERMISOS 50. Permisos
- Que son?
51. Permisos
- Permisos=Quien hace que?
52. Quien?
-
- Usuarios
- 53. Grupo
54. Otros Que?
- Leer
55. Escribir 56. Ejecutar 57. Entonces como segmento?
- Proteger al usuario de si mismo
* Escribir * Modificar * NO ejecutar /home 58. Entonces como segmento?
- Proteger al sistema del administrador
* Escribir * Modificar * NO ejecutar * Solo deberiaSer posible MIENTRAS INSTALAMOS /home /usr 59. Entonces como segmento?
- Proteger al sistema del administrador
* Escribir * Modificar * NO ejecutar * Solo deberiaSer posible MIENTRAS INSTALAMOS * CUALQUIERA TIENE PERMISO * La preferida de Los hackers *NO ejecutar /home /usr /tmp 60. Entonces como segmento?
- Proteger al sistema del administrador
* Escribir * Modificar * NO ejecutar * Solo deberiaSer posible MIENTRAS INSTALAMOS * CUALQUIERA TIENE PERMISO * La preferida de Los hackers *NO ejecutar * Similar a la Anterior * El sistema SI Necesita escribir *NO ejecutar /home /usr /tmp /var 61. Lo que logre
- Proteger al usuario de si mismo
62. Proteger las rutas importantes para que los hackers no modifiquen ejecutables o reemplacen los existentes (ro) 63. La idea es que solo el administrador pueda administrar y editar este esquema DE MANERA TEMPORAL 64. Software recomendado
- Planificar antes de instalar e instalar SOLO LO ESTRICTAMENTE NECESARIO
65. Algunos consejos
- Mis usuarios son una de mis mayores amenazas
66. Algunos consejos
- Mis usuarios son una de mis mayores amenazas
- Cracklib para que el usuario no utilice contraseas sencillas
67. Algunos consejos
- Mis usuarios son una de mis mayores amenazas
- Cracklib para que el usuario no utilice contraseas sencillas
68. De ser posible (y si el $$$ lo permite) utilizar kerberos 69. Algunos consejos
- Mis malas practicas tambien son una amenaza
70. Algunos consejos
- Mis malas practicas tambien son una amenaza
- /etc/passwd el esqueleto de usuarios
71. Software recomendado
- Mis malas practicas tambien son una amenaza
- /etc/passwd el esqueleto de usuarios
- Hay usuarios que no necesitan shell
72. /bin/false 73. Software recomendado
- Mis malas practicas tambien son una amenaza
- /etc/passwd el esqueleto de usuarios
- Hay usuarios que no necesitan shell
74. /bin/false No necesito superpoderes 24/7 75. Algunos consejos
- Mis malas practicas tambien son una amenaza
- /etc/passwd el esqueleto de usuarios
- Hay usuarios que no necesitan shell
76. /bin/false No necesito superpoderes 24/7
- No solo ROOT puede administrar
77. Algunos consejos
- Mis malas practicas tambien son una amenaza
- /etc/passwd el esqueleto de usuarios
- Hay usuarios que no necesitan shell
78. /bin/false No necesito superpoderes 24/7
- No solo ROOT puede administrar
79. adm puede revisar status y yo puedo ser parte de adm 80. Algunos consejos
- Mis malas practicas tambien son una amenaza
- /etc/passwd el esqueleto de usuarios
- Hay usuarios que no necesitan shell
81. /bin/false No necesito superpoderes 24/7
- No solo ROOT puede administrar
82. adm puede revisar status y yo puedo ser parte de adm 83. Tener cuidado a quien dejo en wheel 84. Algunos consejos
- Cuidar mi acceso remoto, puede ser de dos filos
85. Algunos consejos
- Cuidar mi acceso remoto, puede ser de dos filos
- Cambiar el puerto no funcina (nmap)
86. Algunos consejos
- Cuidar mi acceso remoto, puede ser de dos filos
- Cambiar el puerto no funcina (nmap)
87. No permitir root por ssh, para eso es mejor estar frente a la pc 88. Algunos consejos
- Cuidar mi acceso remoto, puede ser de dos filos
- Cambiar el puerto no funcina (nmap)
89. No permitir root por ssh, para eso es mejor estar frente a la pc 90. Timeout considerable 91. Algunos consejos
- Cuidar mi acceso remoto, puede ser de dos filos
- Cambiar el puerto no funcina (nmap)
92. No permitir root por ssh, para eso es mejor estar frente a la pc 93. Timeout considerable 94. SOLO v2 ssh (jamas ssh 1, mucho menos telnet) 95. Algunos consejos
- Si tengo sospecha revisar siempre:
- Los procesos (ps -fea)
96. Los puertos (netstat -ptua) 97. Cualquier cosa reciente (who, history), la paranoia a veces es buena 98. Algunos consejos
- Aislar cuando sea posible
99. Algunos consejos
- Aislar cuando sea posible
- Jails (jaulas) de chroot
100. Algunos consejos
- Aislar cuando sea posible
- Jails (jaulas) de chroot
101. Virtualizacin (lo que esta de moda) 102. Software
- Script kiddies
- fail2ban
103. sshguard 104. scponly 105. samhain 106. syslog 107. Algo ms
- Firewalls
108. Tcpwrappers 109. Backups 110. Ldap, radius, kerberos 111. Etc. 112. Gracias :D
- Dudas, comentarios, sugerencias?
- Blog:http://tuxtor.shekalug.org
113. Mail:[email_address] Esta licencia se encuentra bajo una licencia libre (GFDL v2) en
- http://tuxtor.shekalug.org/talks
114. Informacin:http://www.gnu.org/copyleft/fdl.html