Bueno, este post lo venía preparando para mi blog desde hace algún tiempo que me lo sugirieron en DesdeLinux, y por falta de tiempo no había podido, o de ganas. Si soy algo vago :D. Pero ahora les va en strike, como decimos en Cuba…
0- Mantener actualizados nuestros sistemas con los últimos updates de seguridad.
0.1- Listas de correo de actualizaciones críticas [Slackware Security Advisor, Debian Security Advisor, en mi caso]
1- Cero acceso físico a los servers por parte de personal no autorizado.
1.1- Aplicar password al BIOS de nuestros servers
1.2- No boot por CD/DVD
1.3- Password en el GRUB/Lilo
2- Buena política de passwords, caracteres alfanuméricos y otros.
2.1- Envejecimiento de los passwords[Password Aging] con el comando “chage”, así como número de días entre cambio de password y última fecha de cambio.
2.2- Evitar el uso de password anteriores:
en /etc/pam.d/common-password
password sufficient pam_unix.so use_auth ok md5 shadow remember 10
Así cambias el password y te recuerda los ultimos 10 passwords que tenía el usuario.
3- Buena política de gestión/segmentación de nuestra red[routers, switches, vlans] y firewall, así como reglas de filtrado INPUT, OUTPUT, FORWARD[NAT, SNAT,DNAT]
4- Habilitar el uso de shells[/etc/shells]. Los usuarios que no deban loguearse en el sistema les toca /bin/false o /bin/nologin.
5- Bloquear usuarios cuando el login falla[faillog], así como controlar la cuenta de usuario del sistema.
passwd -l pepe -> bloquear al usuario pepe passwd -v pepe -> desbloquear al usuario pepe
6- Habilitar el uso de “sudo”, NUNCA loguearnos como root por ssh, “NUNCA”. De hecho se debe editar la configuración de ssh para lograr este propósito. Use llaves públicas/privadas en sus servers con sudo.
7- Aplicar en nustros sistemas el “Principio del privilegio mínimo“.
8- Chequear nuestros servicios cada cierto tiempo[netstat -lptun], para cada uno de nuestros servers. Agregar herramientas de monitoreo que nos puedan ayudar en esta tarea[Nagios, Cacti, Munin, Monit, Ntop, Zabbix].
9- Instalar IDSs, Snort/AcidBase, Snotby, Barnyard, OSSEC.
10- Nmap es tu amigo, úsalo para verificar tu subred/subredes.
11- Buenas prácticas de seguridad en OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP[los que la mayoría usa] y algún que otro servicio que necesites en tu red.
12- Encriptar toda comunicación mientras sea posible en nuestros sistemas, SSL, gnuTLS, StarTTLS, digest, etc… Y si manejas información sensible, encripta tu disco duro!!!
13- Actualizar nuestros servidores de correo con las últimas reglas de seguridad, listas negras y antispam.
14- Logueo de actividad en nuestros sistemas con logwatch y logcheck.
15- Conocimiento y uso de herramientas como top, sar, vmstat, free, entre otras.
sar -> system activity report vmstat -> procesos, memoria, systema, i/o, actividad del cpu, etc iostat -> cpu i/o status mpstat -> multiprocessor status and usage pmap -> uso de memoria por los procesos free -> memoria iptraf -> tráfico en tiempo real de nuestra red ethstatus -> console-based ethernet statistics monitor etherape -> graphical network monitor ss -> socket status[tcp socket info, udp, raw sockets, DCCP Sockets] tcpdump -> Análisis detallados de tráfico vnstat -> network traffic monitor of selected interfaces mtr -> herramienta de diagnóstico y análisis de sobrecarga en las redes ethtool -> stats about network cards
Por ahora es todo. Sé que existen mil y una sugerencias de seguridad más en este tipo de entorno, pero, estas son las que más me han chocado de cerca, o que en algún momento he tenido que aplicar/ejercer en algún ambiente de los que he administrado.
Un abrazo y que ojalá les sirva :D
from Desde Linux http://feedproxy.google.com/~r/UsemosLinux/~3/0A8h7uA7Mlg/
via IFTTT