Quería agradecer además, a Ignacio Briones Martínez de i64, por su gran formación en este curso, que me ha gustado muchísimo y, cómo no, a Chema Alonso por haberse ofrecido a llevarme a la estación de Móstoles, en su “maligno-móvil” prestado }XD.

Muchas gracias a todos/as y espero que volvamos a vernos de nuevo };-D.

Azlan D-Link Academy, consta de cuatro módulos que se impartirán en la semana del 22 de Noviembre de 2010, de las cuales personalmente podré asistir a simplemente una, en este caso, la de DL02-Switching L2+L3 donde se tratarán diferentes tecnologías de switching, en el que se abordarán entre ellos varios de los protocolos de enrutamiento (como RIP(v2) y OSPF), SmmTPr, VLAN’s, SNMP, MAC filtering, etc. Y, finalmente, donde nos harán un examen práctico para la obtención de la certificación. Los módulos restantes, son:

- DL01-Network Design
- DL02-Switching L2+L3
- DL03-Firewalling
- DL04-Tecnología WIFI
- DL05-Tecnologías de videovigilancia con cámaras IP

¿A qué esperáis para inscribiros? ;D.

Un saludo.

apt-get install build-essential php5 apache2 mysql-server php5-gd php5-mysql libcurl3 libiksemel3 libiksemel-dev libsnmp-dev libmysqlclient15-dev snmpd snmp libcurl4-openssl-dev

2.- Creamos el usuario zabbix, lo añadimos al grupo admin, y nos pasamos a este usuario:

adduser zabbix
adduser zabbix admin
su - zabbix

3.- Vamos a www.zabbix.com/download.php y nos descargamos la última versión estable. La ubicamos en /home/zabbix.

4.- Descomprimimos el zabbix:
tar xvzf zabbix-x.x.x.tar.gz

5.- Creamos la base de datos zabbix:

mysql -u root -p (introducir contraseña root mysql)
mysql> create database zabbix;
mysql> exit;

6.- Introducimos en la base de datos la estructura de las tablas de zabbix, y posteriormente añadimos a la base de datos las plantillas e imágenes:

cd create/schema
cat mysql.sql | mysql -u -p zabbix
cd ../data
cat data.sql | mysql -u -p zabbix
cat images_mysql.sql | mysql -u -p zabbix

7.- Si queremos que le zabbix se conecte a la base de datos con un usuario diferente de root (por ejemplo zabbix), habrá que darle de alta y asignarle permisos en la base de datos. Si queremos que el zabbix se conecte a mysql como root, este paso no es necesario.

mysql -u root -p (introducir contraseña root mysql)
mysql> grant all on zabbix.* to zabbix identified by "clave_zabbix";
mysql> flush privileges;
mysql> exit;

8.- Compilamos el codigo fuente:

./configure --enable-server --with-mysql --with-net-snmp --with-jabber --with-libcurl --enable-agent
make install

9.- Editamos el archivo /etc/services para registrar los puertos del zabbix:

vi /etc/services

Añadimos al final las siguientes líneas:

zabbix-agent 10050/tcp
zabbix-agent 10050/udp
zabbix-trapper 10051/tcp
zabbix-trapper 10051/udp

10.- Creamos los ficheros de configuración en /etc/zabbix, tomándolos de los que trae de ejemplo el zabbix:

mkdir /etc/zabbix
cp misc/conf/zabbix* /etc/zabbix/
chown -R zabbix.zabbix /etc/zabbix

11.- Configurar la clave y usuario de mysql en el archivo /etc/zabbix/zabbix_server.conf (al final del archivo, DBUser y DBPassword)

12.- Creamos el directorio en el que estará ubicado el frontend php del zabbix, y copiamos los archivos php desde el fuente:

mkdir /var/www/zabbix
cp -R frontends/php/* /var/www/zabbix

13.- Editamos el php.ini

vi /etc/php5/apache2/php.ini

Cambiamos estos valores:

max_execution_time = 300
date.timezone = "Europe/London"

14.- Arrancamos el servidor y agente zabbix:

zabbix_server
zabbix_agentd

15.- Finalmente, nos dirigimos a la interfaz Web (http://servidor/zabbix), y completamos el asistente. Una vez completado, nos logueamos con el usuario: admin y, contraseña: zabbix.

Lo que han recurrido a utilizar, es un servidor proxy transparente con un cache de sitios Web (SQUID) con el propósito de ahorrar ancho de banda, mayormente a consecuencia del streaming que solemos acceder normalmente la juventud de hoy en día para visualizar ciertas chorradas, o redes antisociales.

Así que en este breve documento, me gustaría explicarles como sobre pasar dicha seguridad de una forma simple y eficiente sin necesidad de utilizar un servidor proxy configurándolo en nuestro ‘addon’ de Firefox o instalar ciertos programas como Tor, además, teniendo la ventaja de que nuestros datos viajarán a través de la red inseguramente.

Introducción

Este simple método consiste en realizar un túnel por el cual viajarán nuestras tramas de red de una manera segura haciendo uso del protocolo SSH (Secure Shell), a lo que denominamos, “tunneling”, desde el equipo del departamento de administración de la empresa en la cual trabajamos (un simple ejemplo), hacia un equipo remoto; por ejemplo el de nuestra casa o un servidor virtual privado (VPS) que tengamos contratado. Véase la figura 1.1.

Figura 1.1: SSH Tunneling Architecture

Requisitos básicos

Para comenzar, los requisitos básicos e imprescindibles que necesitaremos, es tener instalado un servidor SSH en el equipo que utilizaremos como túnel. Si utilizamos un sistema Windows, podemos descargarnos SSHWindows desde SourceForge, si utilizamos GNU/Linux, Open/Solaris, FreeBSD, etc., desde los propios gestores de paquete o manualmente mediante el propio código fuente.

Finalmente, en el equipo de la empresa desde donde nos conectaremos a nuestro servidor para abrir dicho túnel, tendremos la posibilidad de instalar Cygwin, activando en la propia instalación a que nos instale el paquete SSH. Otra alternativa factible también puede ser SSHWindows, o bien, PuTTY.

Configuración mínima

Una vez finalizada la instalación del servidor SSH, deberemos de alterar ciertas configuraciones. Normalmente el archivo de configuración en GNU/Linux se encuentra en (/etc/ssh/sshd_config), aunque puede ser diferente depende de la distribución que utilicemos o sistema operativo.

Estando en el archivo de configuración del servidor, deberemos de activar la directiva AllowTcpForwarding y afirmarla, con el fin de así poder permitir el reenvío o redirección de puertos.

Además, tenemos la posibilidad de aplicarle ciertas configuraciones de seguridad al servidor, para así mantener nuestro sistema más seguro de ciertos bichos en la red. Por ejemplo, añadiendo la siguiente directiva al final del archivo: Match User juanita,pepa,pepote para que así, tan solo ciertos usuarios del sistema tuvieran acceso a utilizar nuestro tunneling.

Si quisiéramos, también podríamos especificarle a qué grupos permitirle la conexión con la siguiente directiva: Match Group secretaria, la cual quiere decir que todos los usuarios pertenecientes al grupo secretaria en nuestro sistema, podrían abrir una conexión tunneling.

Creando el túnel

Para ello, abrimos una shell desde donde queramos abrir el túnel y simplemente introducimos el siguiente comando:

ssh -D 9999 -C usuario@servidor_ssh_remoto

Recuerda: que si estás utilizando Windows, debes de tener instalado SSHWindows, en cambio, si estás utilizando sistemas basados en *nix, depende siempre de la distribución, pero normalmente vienen por defecto instalados.

Éstas son algunas de las opciones que podremos incluir en nuestras configuraciones:

-1 ó -2: Fuerza a utilizar la versión 1 ó 2 de la versión de SSH
-4 ó -6: Fuerza a utilizar la versión 4 ó 6 del protocolo IP (IPv4 o IPv6)
-f: Pasa en segundo plano la ejecución de SSH (fork)
-v: Nos da información adicional durante el proceso (verbose mode).

Para más información: man ssh

Configurando nuestro navegador

Finalmente, deberemos de configurar nuestro túnel en nuestro navegador como servidor proxy, en el apartado llamado SOCKS, el cual nos permite utilizar de manera transparente los servicios de un firewall de red. Véase la figura 4.1.

Figura 4.1: Firefox Proxy (SOCKS) configuration

Algo a tener en cuenta también, es el cifrado de búsquedas de las DNS. Para ello, simplemente nos dirigimos a la configuración de Mozilla Firefox, si es el navegador que estamos utilizando (about:config), y modificamos el valor de network.proxy.socks_remote_dns a true ;-).

Referencias

http://www.ietf.org/rfc/rfc4251.txt
http://www.ietf.org/rfc/rfc1928.txt

Los permisos asociados a ficheros y directorios, son una de las medidas de seguridad básicas en los sistemas. Generalmente, el usuario propietario será la persona que ha creado el fichero, pero ésta puede ser alterada después de su creación. Existen tres tipos básicos de permisos, que son de:

• Lectura: permite a los usuarios leer el archivo especificado.
• Escritura: permite a los usuarios modificar el archivo especificado.
• Ejecución: permite a los usuarios ejecutar el archivo especificado.

Cuando se asignan estos permisos, Linux guarda un registro de los mismos que posteriormente aparece reflejado en la lista de archivos, con lo cual, se crea un estado que se expresa mediante marcas:

• r (read): acceso de lectura.
• w (write): acceso de escritura.
• x (execute): acceso de ejecución.

Dichas marcas, pueden ser visibles con un formato largo mediante el comando, ls -l. Ésta es una salida típica:

drwxr-xr-x 2 Pepe Pepe 4096 jun 6 12:50 lg
-rwxrwxr-x 1 Pepe Pepe 0 jun 6 12:49 kgl.py
drwxr-xr-x 2 Pepe Pepe 4096 jun 6 12:50 scripts

FIGURA 1.1: Propiedades de la tabla de permisos

Como podemos observar en la Figura 1.1, el primer carácter especifica el tipo de recurso. En este campo existen varios:

• - representa un archivo.
• b representa un archivo de bloques especial.
• c representa un archivo de caracteres especiales.
• d representa un directorio.
• l representa un enlace simbólico

Finalmente, los nueve caracteres restantes se dividen en tres grupos:

• Los permisos del propietario: estos permisos muestran el acceso del propietario del archivo
• Permisos de grupo: estos permisos muestran el acceso del grupo al archivo.
• Permisos mundiales: estos permisos muestran los derechos que tiene el resto del mundo a acceder a este archivo (si tiene alguno).

Vamos a aplicar esto al script en Python de Pepe. Como podemos observar, este recurso es un archivo.

-rwxrwxr-x 1 Pepe Pepe 0 jun 6 12:49 kgl.py

Por consiguiente, Pepe (el propietario del archivo) tiene todos los derechos de acceso en él, con lo cual, puede leer, escribir y ejecutar el archivo.

-rwxrwxr-x 1 Pepe Pepe 0 jun 6 12:49 kgl.py

De igual modo, los usuarios del grupo (del grupo Pepe) también pueden leerlo, escribirlo y ejecutarlo.

-rwxrwxr-x 1 Pepe Pepe 0 jun 6 12:49 kgl.py

Y finalmente, aquellos que no sean Pepe y que no pertenezcan a su grupo, tienen derecho a leer y ejecutar el archivo, pero en cambio, no pueden escribir en él.

En resumen:

• El primer carácter representa normalmente si es un archivo (-) o un directorio (d).
• El primer conjunto de los tres caracteres indica los privilegios del usuario.
• El siguiente conjunto, los privilegios del grupo.
• Y finalmente, el último conjunto indica los privilegios del resto de usuarios.

chmod: cambiar los permisos de los archivos

Para definir los permisos a un usuario concreto sobre un archivo o un directorio, se utiliza el comando chmod. Existen tres tipos de operadores:

• El operador - quita los permisos.
• El operador + agrega permisos.
• El operador = asigna permisos.

Veámos un claro resumen de como podemos quitar, agregar o asignar estos operadores.

• r: Éste carácter añade o quita el permiso de lectura. Ejemplo: chmod +r nombre de archivo
• w: Éste carácter añade o quita el permiso de escritura. Ejemplo: chmod -w nombre de archivo
• x: Éste carácter añade o quita el permiso de ejecución. Ejemplo: chmod +x nombre de archivo

Un método consiste en añadir letras (r, w, x) para asignar permisos a archivos individuales o directorios. Otro es utilizar el sistema octal, con el cual se pueden añadir valores octales y que veremos en el siguiente apartado.

Sistema octal

El sistema octal, es un sistema numérico en base 8 que utiliza los dígitos de 0 a 7.

La siguiente tabla resume el esquema octal y lo que representa cada número, aunque seguidamente lo veremos con más detalle.

FIGURA 1.2: Valores octales

• 0000: Equivale a --- por lo que no tenemos ningún permiso.
• 0001: Equivale a --x por lo que el propietario tiene permisos de ejecución.
• 0002: Equivale a -w- por lo que el propietario tiene permisos de escritura.
• 0004: Equivale a r-- por lo que el propietario tiene permisos de lectura.
• 0010: Equivale a --x por lo que X grupo tiene permisos de ejecución.
• 0020: Equivale a -w- por lo que X grupo tiene permisos de escritura.
• 0040: Equivale a r-- por lo que X grupo tiene permisos de lectura.
• 0100: Equivale a --x por lo que otros tienen permisos de ejecución.
• 0200: Equivale a -w- por lo que otros tienen permisos de escritura.
• 0400: Equivale a r-- por lo que otros tienen permisos de lectura.
• 1000: Éste modo denominado Sticky bit, es aplicado a directorios importantes (como /tmp) con privilegios especiales. El bit asignado a un directorio sólo puede ser renombrado o borrado por el propietario del elemento del directorio o root aunque el resto tenga permisos de escritura. Además, éstos se indentifican mediante una t en la última posición de la propiedad de permisos. Ejemplo: drwxrwxrwt 13 root root 4096 jun 6 22:44 tmp
• 2000: Éste modo denominado bit SETGID (Set Group ID) está orientado a facilitar el trabajo en grupo cuando varios usuarios deben de acceder a una colección común de ficheros y directorios. Se representan mediante la letra S. Por ejemplo, drwxrws--- 2 Pepe profesorado 4096 jun 3 22:12 Documentos el propietario del directorio y los miembros del grupo profesorado pueden acceder a este directorio. Los usuarios que no sean miembros de este grupo se “asignan” al mismo, con lo cual puede suponer un riesgo de seguridad si se definiera el valor root SUID en un programa.
• 4000: Finalmente, éste modo denominado bit SETUID (Set User ID) es un atributo de archivo especial que indica al sistema que debe ejecutar los programas marcados con un ID de usuario en concreto. Por ejemplo, el programa vipw normalmente necesita permisos de usuario root para acceder a /etc/passwd, por tanto un usuario normal no podría cambiar dicho archivo, ya que sería demasiado peligroso otorgar a todos los usuarios acceso directo a él.

NOTA: Si los atacantes pueden explotar las debilidades de los programas root de SUID, potencialmente pueden obtener privilegios de root.
Los archivos de bit SUID y SGID pueden ser buscados de la siguiente forma: find / \( -perm -4000 -o -perm 2000 \) -ls > archivos_con_suid_sgid.txt con lo que nos hará un listado en un archivo de texto que posteriormente podemos analizar para otorgar los permisos adecuados para así, obtener un sistema mucho más seguro.

Finalmente, podemos facilitar las cosas reduciendo rápidamente los permisos del propietario, de grupos y otros usuarios a un número de tres dígitos utilizando los siguientes valores:

• 0: Sin permisos.
• 1: Ejecución.
• 2: Escritura
• 3: Escritura y ejecución (actualmente no se utiliza mucho).
• 4: Lectura.
• 5: Lectura y ejecución.
• 6: Lectura y escritura.
• 7: Todo el conjunto: lectura, escritura y ejecución.

Veámos un caso práctico:

[cloti@ ~]$ pwd; cd /home/pepe/
/home/cloti
bash: cd: /home/pepe/: Permiso denegado

[pepe@ ~]$ pwd; chmod 755 pepe/; ls -l
drwx------ 4 cloti secretaria 4096 jun 7 01:45 cloti
drwx------ 4 juan profesorado 4096 jun 7 01:45 juan
drwxr-xr-x 4 pepe profesorado 4096 jun 7 01:41 pepe


[cloti@ ~]$ cd /home/pepe/; ls -l
-rw-r--r-- 1 pepe profesorado 548 jun 7 02:20 Álgebras.doc
drwxr-xr-x 2 pepe profesorado 4096 jun 7 02:19 Exámenes
drwxr-xr-x 2 pepe profesorado 4096 jun 7 02:20 Física
drwxr-xr-x 2 pepe profesorado 4096 jun 7 02:20 Matemáticas
drwxr-xr-x 2 pepe profesorado 4096 jun 7 02:20 Prueba de acceso
-rw-r--r-- 1 pepe profesorado 897 jun 7 02:20 Tema 4 Funciones.docx


Primeramente, podemos observar como el usuario cloti intenta acceder a la carpeta pepe (/home/pepe), la cual le deniega el acceso. Seguidamente, nuestro protagonista Pepe ha decidido darle permisos de lectura y ejecución a Cloti, que posteriormente ha podido acceder igual que podría hacerlo Juan siendo éste de su mismo grupo.

En este artículo aprenderemos a manejar Bastille, desde su instalación y configuración exhaustivamente para proporcionar una mayor seguridad de nuestro sistema Linux. Bastille es una de las tantas herramientas de hardening con el que ahorramos bastante tiempo desde la configuración de cada archivo individual hasta la programación para el fortalecimiento del mismo pudiendo ejecutarse bajo Linux, HP-UX e incluso MacOS X. Con ella podemos realizar bastantes tareas como deshabilitar servicios y puertos innecesarios. Además, cabe decir que, Bastille es un conjunto de scripts en Perl que toma la información que le indiquemos desde una set de preguntas y respuestas de las que ya comentaré a lo largo de este artículo desde una interfaz bastante amigable.

He aquí una lista de las características que nos ofrece Bastille, pero que puede variar a medida de que aparezcan nuevas versiones.

NOTA: Este artículo ha sido elaborado con la versión 3.0.9 de Bastille.

- Aplicar permisos restrictivos en las utilidades de administrador: Permite tan solo a root leer y ejecutar las utilidades habituales de administrador como ifconfig, linuxconf, ping, traceroute y runlevel, deshabilitando el estado del SUID root para estas herramientas , de modo que los usuarios no fueran root, no pudieran usarlo.

- Deshabilitar los protocolos r: Los protocolos r permiten a los usuarios entrar en sistemas remotos usando una autenticación en base a la IP. Esta autenticación permite sólo a determinadas IP acceder remotamente a un sistema. Dado que esta autenticación se basa en la dirección IP, un intruso que ha descubierto una IP autorizada puede crear paquetes camuflados que parecen provenir de ese sistema autorizado. (Véase como ejemplo: RPC)

- Implementar caducidad de contraseñas: Los sistemas Linux por defecto permiten contraseñas que expiran después de 99.999 días. Dado que esto es demasiado en un entorno seguro, Bastille ofrece cambiar la expiración de la contraseña a 180 días. Estas configuraciones están escritas en el archivo /etc/login.defs que pueden ser modificadas posteriormente con un editor cualquiera.

- Deshabilitar Control-Alt-Supr para reiniciar: Esto no permite reiniciar la máquina, algo bastante esencial si nos referimos a su seguridad física.

- Optimizar las envolturas TCP: Esta elección modifica el archivo inetd.conf y el archivo /etc/hosts.allow de modo que inetd debe contactar con las envolturas TCP siempre que reciba una petición en lugar de ejecutar automáticamente el servicio solicitado. Las envolturas TCP determinarán si la dirección IP solicitante está autorizada para ejecutar el servicio en particular. Si la petición no está permitida, se deniega y el intento se registra. Aunque la autenticación basada en IP puede ser vulnerable, esta optimización añade una capa de seguridad en el proceso. No está recomendado para la mayoría de escenarios.

- Añadir mensajes de autorización de uso: Estos mensajes aparecen automáticamente cuando alguien accede en el sistema.

- Limitar el uso de los recursos del sistema: Si limita el uso de los recursos del sistema, puede reducir las oportunidades de fallo de un servidor a un ataque DoS. Si elige limitar el uso de los recursos del sistema en Bastille, se producirán los siguientes cambios:

• El tamaño de archivos se limita a 40 MB
• Cada usuario se limita a 150 procesos.
• El número de archivos del core permitidos por usuario se configura a cero. Los archivos del core se usan para tratar problemas del sistema. Son grandes y utilizables si se obtiene el control de los mismos: pueden crecer y consumir su sistema de archivos.

- Restringir el acceso a consola: Cualquiera con acceso a la consola tiene derechos especiales, como montar un CD-ROM. Bastille puede especificar qué cuentas de usuario tienen acceso para entrar por consola.

- Registro remoto y adicional: Dos registros adicionales podrían añadirse a /var/log:

• /var/log/kernel (mensajes del kernel)
• /var/log/syslog (mensajes de error y avisos) Puede también hacer el registro de un host remoto si existe.

- Configuración de cuenta de procesos: Le permite registrar los comandos de todos los usuarios. También registra cuando fueron ejecutados los comandos. Este archivo de registro son útiles para el seguimiento de un intruso en un sistema, pero el archivo puede llegar rápidamente a ser muy grande. Si se tiene acceso root, lógicamente puede ser eliminado.

- Desactivar NFS y Samba: Le permite deshabilitar los servicios NFS y Samba.

Samba proporciona un sistema de archivos compartido. A menos que el cortafuegos se configure para bloquear los paquetes o el administrador asegure estos servicios. Bastille recomienda desactivarlos.

- Fortalecer el servidor Web Apache: Debería desactivarse si el servicio (httpd) no es utilizado.

IMPLEMENTACIÓN

Bajo Linux, Bastille es ofrecida desde los repositorios de nuestra distribución, pero si por algún caso no la estuviera, tendríamos la posibilidad de descargarla desde su propia página oficial. Aunque en este artículo nos centraremos en la instalación desde su propio código fuente, así qué ¡allá vamos!

$ cd /tmp && wget http://nfsi.dl.sourceforge.net/sourceforge/bastille-linux/Bastille-3.0.9.tar.bz2 && tar -xjvf Bastille* && cd Bastille && ./Install.sh

Una vez instalado, ejecutaremos Bastille desde la línea de comandos. Para ello tenemos dos intefaces disponibles, una basada en Ncurses (bastille -x) y otra en Tk (bastille -c)

NOTA: Debemos de tener instalado Perl-Tk para su ejecución.

Una vez ejecutado, podemos observar que nos encontramos con una pantalla de bienvenida, la cual está dividida en grupos y funciones y a su vez, las funciones están divididas en preguntas relacionadas a los grupos que veremos ahora.

NOTA: Todas las elecciones que implemente en Bastille se registran en el archivo /root/Bastille/config.

• Grupo: FilePermissions

  Would you like to set more restrictive permissions on the administration utilities? [N]: Útil en máquinas con múltiples cuentas de usuario. Hay utilidades que en general, sólo son ejecutadas por el administrador de la máquina aunque por defecto los usuarios habituales tienen acceso a ellas, al menos a parte de sus funcionalidades, como pueden ser los comandos top o ifconfig. Para evitar los posible problemas de seguridad a los que podría dar lugar a esto, Bastille puede cambiar los permisos de las mencionadas aplicaciones con el fin de asegurar que sólo el administrador pueda ejecutarlas. Si usted es el único usuario de la máquina no tiene sentido que habilite esta opción. Si cuenta con otros usuarios que acceden a ella, sí que sería interesante añadir esta opción.

• Grupo: FilePermissions

  Would you like to disable SUID status for mount/umount? [Y]: En general, los programas que tienen el atributo SUID son muy peligrosos ya que pueden ser invocados por usuarios normales, se ejecutan con privilegios de superusuario. Esto no entrañaría ningún riesgo si estos programas se limitasen a hacer aquello para lo que fueron diseñados, el problema está en que es relativamente habitual que se descubran bugs en estas aplicaciones que permitan “engañarlas” para que hagan funciones indeseables con privilegios de superusuario. Si dice que sí en esta pregunta, Bastille se asegurará de que el comando mount/umount sólo pueda ser ejecutado por aquellos que conozcan la contraseña de superusuario, reduciendo así la exposición al riesgo del equipo.

• Grupo: FilePermissions

  Would you like to disable SUID status for ping? [Y]: Similar al anterior.

• Grupo: FilePermissions

  Would you like to disable SUID status por at? [Y]: El comando at se utiliza para programar tareas individualmente para que se ejecute en un momento dado. Históricamente han sido muchas hazañas que se han aprovechado, por consecuente es recomendable desactivarlo.

• Grupo: FilePermissions

  Would you like to disable the r-tools? [Y]: Las llamadas r-tools son un conjunto de utilidades para la administración remota de equipos, como pueden ser rlogin, rsh, rdist, rpc y similares. El problema con estas herramientas es que todas las transacciones son hechas en texto plano, es decir, la información no es enviada ni recibida de forma cifrada lo que representa un riesgo de seguridad si la transferencia es víctima de sniffing. Contestar afirmativamente a esta pregunta deshabilitaría el uso completo de las herramientas a todos los usuarios (incluyendo root) lo cual es recomendable tomando en cuenta que cada una de estas herramientas tiene actualmente equivalentes más seguras basadas en OpenSSL, PAM, SSH y similares.

• Grupo: FilePermissions

  Would you like to disable SUID status for usernetctl? [Y]: usernetctl, es una utilidad similar a ifconfig que permite a los usuarios normales el control a las interfaces de red, lo cual es recomendable deshabilitarlo.

• Grupo: AccountSecurity

  Pregunta: Should Bastille disable clear-text r-protocols that use IP-based authentication? [Y]:

  Descripción: La diferencia de esta pregunta a la anterior es que se refiere al uso de r-tools a nivel de servidor, es decir, permitir que se ejecute por ejemplo rsh en tu sistema y de esta forma poder acceder remotamente a él con rlogin. La misma razón que se describió en la pregunta anterior es por la que deberíamos desactivar estas herramientas.

• Grupo: AccountSecurity

  Would you like to enforce password aging? [Y]: Habilita un tiempo de caducidad de las contraseñas a 60 días. Antes de que pase ese tiempo se pedirá al usuario que cambie su contraseña. Si se cumple el plazo y el usuario no ha cambiado su contraseña se procederá a bloquear su cuenta hasta que el administrador la vuelva a activar (Véase usermod)

• Grupo: AccountSecurity

  Do you want to set the default umask? [Y]: El umask son los permisos por defecto que se le asignan a los ficheros que vaya creando. Lo más aconsejable es dejar que Bastille lo fije a un valor seguro (077).

• Grupo: AccountSecurity

  Should we disallow root login on tty’s 1-6? [N]: Las tty, son terminales accesibles desde las combinaciones CTRL+ALT+F1 hasta F7, por lo que Bastille nos ofrece deshabilitar el acceso root a dichas terminales para que sea conectado antes con un usuario normal con los mínimos privilegios posibles.

• Grupo: BootSecurity

  Would you like to password-protect the GRUB prompt? [N]: En caso de que un intruso tenga acceso físico al equipo, puede obtener una consola de root rebotando el equipo y pasándole unos parámetros determinados al GRUB. Para evitar esto, lo mejor es activar esta opción de tal manera que aunque se pueda reiniciar el equipo y arrancarlo normalmente, sólo se puedan pasar parámetros al GRUB autenticando antes con su respectiva contraseña, pero si lo que tenemos es un equipo remoto a disposición sin acceso físico alguno, mejor descartar esta opción.

• Grupo: BootSecurity

  Would you like to password protect single-user-mode? [Y]: El modo mono-usuario sirve para arrancar el sistema de manera que única y exclusivamente pueda acceder el superusuario. Es un tipo de acceso que se utiliza en casos de emergencia, cuando por ejemplo no se recuerda la contraseña de root ya que no suele solicitarse autentificación, esto supone un arma de doble filo que puede permitir el acceso no autorizado al sistema. Si se activa esta opción, Bastille evitará esta situación solicitando contraseña de root al acceder por dicho modo.

• Grupo: SecureInetd

  Would you like to set a default-deny on TCP Wrappers and xinetd? [N]: inetd es un demonio que se inicia al principio de la secuencia de arranque en Linux, que tiene la función de escuchar varios puertos concretos y así cuando una conexión a un puerto es requerida, inicia el proceso asociado a dicho puerto. Como pueden ser las de servicios de FTP, POP, IMAP, etcétera, por lo que no es recomendable desactivarlo si se quiere utilizar dichos servicios.

• Grupo: SecureInetd

  Would you like to display “Authorized Use” messages at log-in time? [Y]: Esta opción habilitará un mensaje que aparecerá al comienzo de las sesiones de consola. Este mensaje advertirá de que se está accediendo a un sistema restringido y que cualquier acceso no permitido puede ser perseguido por vía legal. Posteriormente podremos editar dicho mensaje para adecuarlo convenientemente a lo que diga el Departamento Jurídico. (Véase /etc/motd)

• Grupo: SecureInetd

  Who is responsible for granting authorization to use this machine?: Esta una pregunta dirigida a redactar el mensaje mencionado antes. En este caso se trata de identificar al responsable del equipo encargado de autorizar los diferentes accesos a él, en mi caso Pr0x.

• Grupo: ConfigureMiscPAM

  Would you like to put this limits on system resource usage? [N]: Permite establecer ciertos límites al número de procesos y memoria usados por usuario con el fin de evitar ataques de denegación de servicio. Si no se activa, posteriormente podemos configurarlo manualmente editando al archivo de configuración /etc/security/limits.conf

• Grupo: ConfigureMiscPAM

  Should we restrict console access to a small group of users accounts? [N]: En algunas distribuciones, los usuarios que inician sesión por consola tienen algunos derechos especiales de acceso (como la posibilidad de montar la unidad de CD-ROM). Esta opción es mucho más flexible, restringiendo el acceso a la consola.

• Grupo: Logging

  Would you like to add additional logging? [Y]: Configura el equipo para que incremente el número de fuentes de log y se añadan /var/log/kernel y /var/log/syslog siendo accesibles desde las terminales 7 y 8 (mediante Alt+F7 y F8 respectivamente)

• Grupo: Logging

  Do you have a remote logging host? [N]: Si ya tiene un registro de host remoto, se puede configurar la máquina para acceder a ella.

• Grupo: Logging

  Would you like to set up process accounting? [N]: Linux tiene la capacidad de registrar los comandos cuando se ejecutan y por quién. Esto es muy útil para tratar de analizar que es lo que realmente ha hecho un usuario concreto. El inconveniente es que los parámetros de comandos no se registran, pero con Bastille tenemos la posibilidad de activarlo teniendo en cuenta el uso excesivo de CPU y de disco. A menos que usted haya examinado cuidadosamente esta opción, es recomendable que seleccione que “No”.

• Grupo: MiscellaneousDaemons

  Would you like to desactive NFS and Samba? [Y]: Se recomienda encarecidamente desactivar ambos servicios a menos de que lo uséis por motivos convencionales, ya que NFS tiene bastantes vulnerabilidades de seguridad y Samba (SMB) siendo un mejor sistema de archivos compartidos, todavía plantea graves preocupaciones de seguridad potencialmente indeseables. Ambos servicios se basan en texto claro, lo que significa que los datos transferidos pueden ser detectados.

• Grupo: MiscellaneousDaemonslike

  Would you like to deactivate the HP OfficeJet (hpoj) script in this machine? [Y]: Con este script podemos activar el Hewlett Packard (HP) multifuncional (impresión/escaneo/copia/fax) si la tuviéramos, por lo contrario, para desactivarla tendríamos que responder afirmativamente a Bastille.

• Grupo: MiscellaneousDaemons

  Would you to deactive the ISDN script on this machine? [Y]: La teconología ISDN, traducido al español RDSI (Red digital de servicios integrados) está por defecto activado en muchas distribuciones Linux, siendo ésta un método impopular de conexión a Internet (64 kbps) sustituido actualmente por IDSL ofreciendo un servicio básico de RDSI utilizando la tecnología DSL y así obteniendo un mayor ancho de banda, por lo que puede ser desactivado sin preocupación alguna.

• Grupo: Apache

  Would you like to bind the web server to listen only to the localhost? [N]: Bind es el proceso mediante el cual se “enlaza o liga” un servicio a una determinada dirección IP o nombre de host, en este caso lo que se busca es si se debería configurar el servidor Web para recibir sólo aquellas peticiones que se originen en la dirección 127.0.0.1 o localhost, evitando así un posible punto de acceso al sistema. Esto es útil solo para aquellos que hagan su desarrollo a nivel local y lo utilicen para tal fin. Y aquellos que tengan un servidor Web que deberá ser accedido desde fuera, obviamente deberán contestar “No” a esta pregunta.

• Grupo: Apache

  Would you like to bind the web server to a particular interface? [N]: Similar a la anterior, pero al nivel de interfaz de red.

• Grupo: Apache

  Would you like to deactivate the following of symbolic links? [Y]: Impide que el servidor Web siga enlaces simbólicos ya que puede ser potencialmente peligroso. Su desactivación puede disminuir la probabilidad de que alguna vulnerabilidad en el futuro en Apache puede ser explotada.

• Grupo: TMPDIR

  Would you like to install TMPDIR/TMP scripts? [N]: Activar esta opción hará que Bastille instale unos scripts en las cuentas de los usuarios que configuren las variables TMPDIR y TMP de tal manera que utilicen directorios de ficheros temporales completamente individuales, en vez de que todos usen el /tmp lo que puede ser extremadamente peligroso en entornos multiusuarios.

• Grupo: Firewall

  Would you like to run the packet filtering script? [N]: Utiliza un script para generar reglas de firewall. Este script solo tiene soporte para el IPChains del kernel 2.2 y para Iptables del kernel 2.4 (En caso de que un kernel 2.4 no tenga activo el soporte de iptables se usará IPChains). Este script puede ser problemático para los que utilicen kernels 2.6.x sin embargo puede utilizarse como punto de partida y luego ser modificado posteriormente para adaptarse mejor a las características del kernel. Contestar afirmativamente a esta pregunta generará posteriores preguntas que ayudarán al script a crear las reglas necesarias para el firewall (quienes pueden acceder al sistema desde la red, qué protocolos se pueden servir, qué se colocará en los logs referentes a los procesamientos de acceso, etc.)

• Grupo: PSAD

  Are you finished making changes to your Bastille configuration?: Y ¡por fin! hemos llegado al final de nuestra trayectoria. Si estamos seguros de la configuración respondemos afirmativamente.

Finalmente, seleccionamos Go Back and Change Configuration para aplicar los cambios, pero si tan solo quisiéramos guardar la configuración, seleccionaríamos Exit Without Saving.

Y hasta aquí hemos llegado. Todas las funciones que busca configurar Bastille se pueden hacer manualmente, Bastille lo que tan solo ofrece es la posibilidad de hacer todo mucho más sencillo. Además, cabe decir que existen distribuciones ya hechas que implementan muchas políticas de seguridad, normalmente tienen el mismo nombre de la distribución seguido de la palabra Hardened (por ejemplo: Gentoo Hardened) y otra muy buena opción Engarde Linux.