| Red Hat Linux 7.1: Official Red Hat Linux Reference Guide | ||
|---|---|---|
| Anterior | Capítulo 7. Elementos básicos de seguridad de Red Hat | Siguiente |
Los enfoques relativos a la seguridad se pueden siempre separar en dos tipos diferentes: activo o pasivo. Un enfoque activo hacia la seguridad cubre todas las actividades ideadas para prevenir que se abra una brecha en el modelo de seguridad de su sistema. Un enfoque pasivo hacia la seguridad se refiere a las actividades desempeñadas para supervisar la seguridad de su sistema basándose en ese modelo de seguridad.
Todos los usuarios deberían emplear enfoques ya sea activos como pasivos hacia la seguridad. Cada uno de estos enfoques refuerza el otro. El hecho que sepa por medio de los registros de servidor que un determinado usuario está intentando violar su seguridad (enfoque pasivo hacia la seguridad) podría impulsarle a instalar una aplicación que los bloquee hasta para que obtengan un indicador de inicio de sesión (enfoque activo hacia la seguridad). De la misma manera, el hecho de usted no esté utilizando contraseñas shadow para proteger su sistema (activo) podría impulsarle a fijarse detenidamente por si hay cambios en los ficheros más importantes en su sistema utilizando una herramienta como Tripwire (pasivo). (Para obtener más información sobre Tripwire, consulte el Capítulo 10.)
Red Hat Linux contiene una variedad de herramientas que le ayudará a emplear ambos enfoques hacia la seguridad. Sin embargo, el uso apropiado de los métodos con cada enfoque es esencial para prevenir un exceso de dependencia de herramientas que protejan su sistema.
La gran mayoría de las herramientas de seguridad para Red Hat Linux trabajan para proteger activamente su sistema. Estas son algunas de las más comunes y útiles herramientas de open source:
Utilidades Shadow — Una colección de herramientas a norma industrial para administrar usuarios locales y grupos en un sistema que utiliza contraseñas encriptadas.
Kerberos 5 — Un sistema seguro que proporciona servicios de autentificación de redes. No permite que contraseñas de texto común pasen sobre una red para obtener acceso a los servicios. (Vea el Capítulo 9 para obtener más información sobre Kerberos 5.)
OpenSSL — Le ayuda a proteger una amplia gama de servicios que soportan operaciones sobre una capa de encriptación. (Vea la Official Red Hat Linux Customization Guide para obtener más información sobre OpenSSL.)
OpenSSH — Un conjunto de utilidades que puede fácilmente sustituir herramientas omnipresentes pero inseguras como telnet y ftp con las potentes y seguras ssh y scp. (Vea la Official Red Hat Linux Customization Guide para obtener más información sobre OpenSSH.)
Los siguientes son métodos que soportan el enfoque activo hacia la seguridad:
Limitar el número de usuarios que pueden ejecutar comandos como root — Ya sea intencionalmente que accidentalmente, un gran porcentaje de los problemas de seguridad surge al menos indirectamente de alguien que conoce la contraseña de root o a quien ha sido dado permiso por medio de sudo para ejecutar un comando en el ámbito de root.
Saber qué paquetes de software se han instalado en su sistema y permanecer alerta para detectar brechas de seguridad recientemente descubiertas — No sabrá qué paquetes hay que supervisar si no es consciente de cuáles están instalados en su sistema y no sabrá que hay que actualizarlos a menos que supervise las fuentes de información, como Red Hat Network.
Limitar los servicios que se ejecutan en el sistema sólo a aquellos que en realidad necesita — Fundamentalmente, mientras más programas se ejecuten, más posibilidades hay que se quebranten o proporcionen el acceso no autorizado. Conserve los recursos del sistema (y de este modo ahórrese la molestia de mantener cosas que no utiliza) y desinstale paquetes que no usa. Como mínimo ejecute una herramienta como ntsysv para evitar que servicios innecesarios inicien con el sistema a la hora del arranque. (Consulte el Control de acceso a los servicios en la Official Red Hat Linux Customization Guide.)
Requerir que los usuarios creen contraseñas seguras y cambiarlas a menudo — La mayoría de los problemas de seguridad empiezan con el acceso no autorizado al sistema. Este riesgo puede minimizarse imponiendo a sus usuarios que también ellos practiquen métodos de seguridad activos protegiendo las claves que abren su puerta.
Asegurarse que los permisos de fichero no estén abiertos sin que esto sea necesario — la mayoría de los ficheros no deberían ser escribibles.
Mientras la mayoría de las herramientas de seguridad para Red Hat Linux fueron ideadas para un enfoque activo hacia la seguridad, hay algunas herramientas que ayudan a que la seguridad pasiva sea una carga administrativa mucho menos pesada:
Tripwire — una aplicación ideada para dar la alerta si directorios y ficheros de sistema específicos son modificados. De esta manera por lo menos sabrá si hay usuarios no autorizados que están teniendo acceso a su sistema o si usuarios autorizados están haciendo cambios indeseados a ficheros importantes. (Consulte el Capítulo 10 para obtener más información sobre Tripwire.)
COPS — una colección de herramientas de seguridad ideadas para desempeñar una cantidad de cosas diferentes, desde el control de puertos abiertos en un determinado host a estar atento a contraseñas de usuario incorrectas.
Otros métodos que soportan el enfoque pasivo hacia la seguridad son:
Convertir en una rutina la actividad de supervisión de los registros de sistema — Por omisión, Red Hat Linux atrapa una cantidad enorme de datos útiles en los registros de sistema situados en el directorio /var/log, especialmente en el fichero messages. Una tarea sencilla ejecutada como root, como el comando grep "session opened for user root" /var/log/messages | less, le permite desempeñar una potente revisión parcial de su sistema y supervisar quién está en el sistema a la root. Esto le permitiría, por ejemplo, reducir rápidamente el número de posibles usuarios que podrían haber cambiado un determinado fichero que se puede sólo escribir como root, simplemente comparando la hora en que el fichero en cuestión fue cambiado con la hora de los inicios de sesión en el fichero /var/log/messages. Sin embargo, considere que este no es un método a prueba de fallos, porque alguien con el poder de escritura sobre un fichero de sistema importante también podría tener el derecho de modificar el fichero /var/log/messages para borrar su rastro.