Seguridad
- Documentación sobre seguridad
- Programas
- logcheck
- ippl
- portsentry
- nmap
- snort
- Ver http://noframes.linuxjournal.com/articles/misc/0047.html
- Ejemplo de configuración
/etc/snort/snort.conf DEBIAN_SNORT_STARTUP=dialup DEBIAN_SNORT_HOME_NET="192.168.0.1/24" DEBIAN_SNORT_OPTIONS=" -i ppp0" DEBIAN_SNORT_STATS_RCPT="root" DEBIAN_SNORT_STATS_TRESHOLD="1" /etc/ppp/ip-up.d #!/bin/sh -e CONFIG=/etc/snort/snort.conf test -f /usr/sbin/snort || exit 0 test -f $CONFIG && . $CONFIG test "$DEBIAN_SNORT_STARTUP" = "dialup" || exit 0 cd /etc/snort start-stop-daemon --start --quiet --exec /usr/sbin/snort -- \ -D \ -S "HOME_NET=$PPP_LOCAL/32" \ -h "$PPP_LOCAL/32" \ -c /etc/snort/snort-lib \ -l /var/log/snort/ \ -s \ $DEBIAN_SNORT_OPTIONS \ -i $PPP_IFACE \ >/dev/null exit 0
- iplogger
- telnet
- iptables
Las sesiones por telnet son muy inseguras. Es relativamente fácil espiar una sesión, por lo que actualmente se prefiere usar ssh (incluso desde Windows con putty y teraterm, con un plugin para ssh). Por otra parte, la sesión por telnet en versiones antiguas permitía entrar como root. En versiones modernas puede hacerse entrando como un usuario normal y ejecutando su. Si hay que mantener este servicio, será conveniente que su sólo esté disponible para el grupo wheel, restringir el acceso a ciertas máquinas
Es un cortafuegos (firewall). Se usa en kernels > 2.4.0 y equivale al ipchains de versiones anteriores. Imaginemos que queremos restringir un servicio TCP/IP de un programa que usa un puerto cualquiera (666) al un ordenador cualquiera, a un rango de IPs, o únicamente al ordenador local (127.0.0.1). La sintaxis sería:
iptables -A INPUT -p tcp --dport 666 -s 127.0.0.1 -j ACCEPT iptables -A INPUT -p tcp --dport 666 -j DROP
- Ejemplo de /etc/hosts.allow
ALL: LOCAL ALL: .dominio .otrodominio
- Ejemplo de /etc/hosts.deny
ALL:ALL
O bien
ALL: ALL: SPAWN (usr/sbin/safe_finger -l @%h | /usr/bin/mail -s "Acceso de %c %d-%h" root) &
-
Este envía un mail a root con la información de safe_finger cuando un host intenta conectarse.
- identd.conf
Si no es necesario, desintalar el servicio (apt-get --purge remove identd). En otro caso, comentar todo lo posible de inetd.conf