Documente Academic
Documente Profesional
Documente Cultură
ENTERPRISE
CONTENIDO
PROCEDIMIENTOS DE ASEGURAMIENTO
1. Backup de la configuracin
2. Seguridad al encender o reiniciar el servidor
3. Seguridad del Sistema Operativo
4. Administracin de contraseas
5. Integridad de archivos
6. Seguridad en comunicaciones
7. Configuracin de los servicios de red
8. Configuracin del FINGER
9. Configuracin del TFTP
10. Configuracin del VS FTP
11. Open SSH
12. Exposicin de la informacin
13. Manejo de logs y registros
CDIGO
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
1/22
CDIGO
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
2/22
SGD28
DIRECCIN IP INTERNA
172.16.8.1
n/a
CDIGO
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
3/22
DIRECCION WEB
FUNCIN DEL SERVIDOR
RESPONSABLE SERVIDOR
N/A
N/A
Procedimientos de Aseguramiento
Tema:
1. Backup del servidor
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente
Se debe realizar un Backup de los
Backup del
archivos a modificar del equipo por
No
No
equipo
parte de los administradores del
mismo.
Tema:
2. Seguridad al encender o reiniciar el servidor
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente
No
NO
Solicitud de
Clave al
iniciar la
mquina
En la BIOS de la mquina es
necesario asignar una clave que sea
solicitada siempre que la mquina se
encienda o reinicie. ya que se podra
usar un Disquete de inicio de
Windows y borrar las particiones ,
se podra intentar hacer lo mismo cn
un CD.
CDIGO
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
4/22
No
NO
NO
No
Restringir el
inicio por
Floppy o
cdrom
Deshabilitar
la opcin de
reiniciar la
mquina con
las teclas
ctrl-alt-del
Tema:
CDIGO
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
5/22
NO
NO
Restricted
Password=<Digite su clave aqui>
Reiniciar Lilo
/sbin/lilo
Nota: No se aplica este control debido a que el
servidor no tiene instalado lilo.
NO
NO
grub-md5-crypt
Password: ***********
Retype Password: ***********
# $1$q19Yf1$fV0t8Dr1rjMtxNytKUXy5/
Luego edite el archivo de configuracin de grub
/boot/grub/menu.lst
y luego del segmento timeout anexar la lnea
password --md5 $1$q19Yf1$fV0t8Dr1rjMtxNytKUXy5
Tema:
CDIGO
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
6/22
NO
NO
Acceso al
archivo
/etc/lilo.conf
chattr +i /etc/lilo.conf
Nota: No se aplica este control debido a que el
servidor no tiene instaldo lilo.
No
No
Acceso al
archivo
/etc/grub.con
f
Tema:
3. Seguridad del Sistema Operativo
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente
SI
Si
SI
SI
chattr +i /boot/grub/grub.conf
Nota: No se aplica este control debido a no se encontr
archivo grub.conf
Ubicacin de
binarios con
permisos de
setuid
Ejecutables
solo
disponibles
para root
Tema:
CDIGO
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
7/22
Si
Si
Colocar
atributo de
inmutables a
algunos
archivos
chattr
chattr
chattr
chattr
700
700
700
700
700
700
700
+i
+i
+i
+i
/sbin/ipchains
/sbin/iptables
/sbin/sysctl
/sbin/shutdown
/sbin/reboot
/sbin/halt
/sbin/powerof
/bin/login
/bin/rpm
/bin/ps
/bin/ls
chattr +i /etc/shadow
chattr +i /etc/passwd
chattr +i /etc/group
Por supuesto, para agregar una nueva cuenta, deber quitar el
atributo a /etc/passwd, /etc/shadow y /etc/group
SI
SI
Si
Remover las
cuentas de
usuario no
necesarias
SI
Ejecucin de
archivos de
arranque de
Linux
userdel
userdel
userdel
userdel
userdel
userdel
-r
-r
-r
-r
-r
-r
uucp
operator
ftp
gopher
games
news
cd /etc
chmod 700 rc.d
cd rc.d
Tema:
CDIGO
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
8/22
SI
Si
Ejecucin de
archivos de
cron
cd init.d
chmod 700
chmod 700
chmod 700
chmod 700
chmod 700
*
/etc/cron.hourly
/etc/cron.daily
/etc/cron.weekly
/etc/cron.monthly
SI
Si
SI
Si
/var/log solo
debe poder
ser ledo por
el root
Si
Rutas de
archivo
(PATH)
Acceso como
root al
sistema
chmod
chmod
chmod
chmod
chmod
600
600
600
600
600
/var/log/messages
/var/log/dmesg
/var/log/boot.log
/var/log/lastlog
/var/log/rpmpkgs
echo $PATH
Chequear que . No se encuentra en
el PATH
tty* : local
ttyp*: remoto
ttyS*: remoto
vc/* : Consolas Virtuales (alt + F2, alt + F3, ...)
Para restringir, simplemente comente la lnea correspondiente
Por ejemplo:
Tema:
CDIGO
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
9/22
No
NO
Limitar
permisos y
procesos a
usuarios
En /etc/security/limits.conf,
configurar limites a los procesos y
evitar el core dump
hard core 0
* hard rss 10000
@grupo hard data 131072
@grupo hard memlock 41926
@grupo hard nproc 40
@grupo hard maxlogins 2
@grupo hard nofile 20
@grupo hard fsize 50000
editar /etc/pam.d/login y aadir la siguiente linea:
session required /lib/security/pam_limits.so
Tema:
CDIGO
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
10/22
SI
Si
Restriccin
Restringir a cierto grupo especfico
auth required /lib/security/pam_wheel.so use_uid
de la
(wheel es recomendado) la utilizacin
utilizacin del
del comando su
o
comando su
auth required /lib/security/$ISA/pam_wheel.so use_uid
SI
Si
Creacin de
archivos
Si
Aadir
Timeout de
Sesin
TMOUT=300
Tema:
4. 1.1.1.3 Administracin de Contraseas
Ejecutada/
Parmetro /
Valor o cambio a implantar
Procedimiento para su implantacin
Exitosa
Componente
Cambio de
Hacer que los usuarios cambien su Configurar las siguientes lneas en el archivo /etc/login.defs:
SI
si
Clave
PASS_MAX_DAYS 20
4.
Tema:
1.1.1.3
CDIGO
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
11/22
Administracin de Contraseas
PASS_WARN_AGE 5
PASS_MIN_LEN 8
Tema:
5. Integridad de Archivos
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente
SI
Si
Revisin de
todos los
programas
instalados
Si
si
Proteccin
del Crontab
Tema:
6. Seguridad en Comunicaciones
Ejecutada/
Parmetro /
Tema:
Si
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
12/22
6. Seguridad en Comunicaciones
Exitosa
Si
CDIGO
Componente
Si
Si
Proteccin
SYN
Enrutamiento
SI
Si
Filtrado de
paquetes
SI
Si
Broadcast
Ping
SI
Si
Si
Si
Si
Si
Paquetes
ICMP
Malformados
ICMP
Redirect
ICMP
Timestamp
paquetes
ICMP /sbin/sysctl -w
net.ipv4.icmp_ignore_bogus_error_responses=1
echo 0 >/proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 >/proc/sys/net/ipv4/conf/all/send_redirects
echo 30 >/proc/sys/net/ipv4/tcp_fin_timeout
Si
Si
Denegacin
del Servicio
echo 0 >/proc/sys/net/ipv4/tcp_sack
Tema:
7. Configuracin de los servicios de Red
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente
Si
Si
/etc/services
Si
Si
/etc/services
Si
Si
/etc/services
CDIGO
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
13/22
No
No
/etc/rc.d
SI
Si
Tema:
CDIGO
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
14/22
disable = yes
type
= INTERNAL
id
= echo-stream
socket_type = stream
protocol
= tcp
user
= root
wait
= no
}
Y en la linea donde aparece disable=no , cambiela por disable=yes ,
luego reinicie xinetd escribiendo el siguiente cmando
#/sbin/service xinetd restart
SI
Si
Si
Si
Si
Si
/
etc/xinetd.con
f
/
etc/xinetd.con
f
/
etc/xinetd.con
f
Este archivo debe tener permisos 600 Ejecute el comando chmod 600 /etc/xinetd.conf
Este Archivo debe ser propiedad de
Ejecute el comando chown root /etc/xinetd.conf
root
Este archivo
grupo root
debe
pertenecer
Tema:
8. Configuracin del FINGER
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente
No
No
/
Verificar la necesidad del servicio.
etc/xinetd.d/fi
al
Tema:
VERSIN
FECHA
21/02/08
PAGINA
15/22
SI
Versin
servicio
servicios de red.
requerimientos indirectos.
Tema:
9. Configuracin del TFTP (Trivial File Transfer Protocol)
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente
Si
IGT-09-09
SI
CDIGO
Si
/etc/xinetd.d/
Tema:
10. Configuracin del VS FTP ( File Transfer Protocol)
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente
Verificar la necesidad del servicio
No
No
No
No
Versin
servicio
No
No
Deshabilitar el
usuario
annimo
No
No
Acceso
servicio
versin
Tema:
CDIGO
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
16/22
Editar
No
No
colocan
los
usuarios
Cambie en el archivo
Vsftpd.conf las siguientes lineas
No
No
que
FTP banner
Tema:
11. Open SSH
Ejecutada/
Parmetro /
Exitosa
Componente
Si
Si
Si
Si
Eliminar
El acceso de root debe ser eliminado
acceso de
editando
el
archivo
root
/etc/sshd/sshd_config
Utilizacin del
Eliminar el uso del protocolo ssh1 en
protocolo
el archivo /etc/sshd/sshd_config
ssh1
No
NO
Ubicacin de
hosts que
realizan
solicitudes
Si
Si
Mensaje de
ultima sesin
Si
Si
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
17/22
CheckHostIP = Yes
Editar /etc/ssh/sshd_config
Tema:
12. Exposicin de Informacin
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente
Informacin
de versin de
Sistema
Operativo
CDIGO
PrintLastLog = No
Reemplazar su contenido
Revisar que estos no sean recreados durante el inicio del
sistema, en /etc/rc.d/rc.local
Tema:
13. Manejo de logs y de registros
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente
No
No
Agregar
la
caracterstica
de
Inmutabilidad inmutabilidad a los logs, esto se hace
en los logs.
para agregar el permiso de solo
aadir a los ficheros de log.
CDIGO
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
18/22
Si
Si
Herramientas
adicionales
para el
manejo de
logs.
Tema:
CDIGO
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
19/22
Tema:
14. Cuotas de Disco
Ejecutada/
Parmetro /
Valor o cambio a implantar
Exitosa
Componente
Tema:
CDIGO
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
20/22
/
ext2 defaults 1 2
/home ext2 defaults 1 2
No
No
Establecer
cuotas de
Disco
/
ext2 defaults,grpquota 1 2
/home ext2 defaults,usrquota,grpquota 1 2
Tema:
CDIGO
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
21/22
No
No
Tema:
CDIGO
IGT-09-09
VERSIN
FECHA
21/02/08
PAGINA
22/22
No
No