Manual de Seguridad de Debian
Apéndice A - El proceso de fortalecimiento es manejado paso a paso

Un procedimiento siempre es útil, si le permite ver el proceso completo de fortalecimiento y le permita tomar desiciones. Una posibles aproximación para este procedimiento en Debian 2.2.GNU/linux es mostrado abajo. Este es un proceso post de instalación para una revición de la lista de medidas a ser tomadas, paso a paso, durante la configuración. vea Lista de chequeo de la configuración, Apéndice B.también este procedimiento está (por el momento) más orientado hacia el fortalecimiento de servicios del sistema de redes.

• Haga una instalación del sistema (considere la información en este howto acerca de las particiones). Después que la instalación de base sea instalada, entre a la instalación por defecto , no seleccione paquetes de tareas, si no seleccione shadow passwords.

• Vaya através de dselect y remueva lo que no es necesario, si no selecciono paquetes antesv de ser (I)instalados. Deje la menor cantidad de programas necesarios en el servidor.

• Actualice todo el software desde los utimos paquetes disponibles en security.debian.org como se expuso previamente en Ejecute una actualización de seguridad, Sección 4.6.

• implemente las sugerencias presentadas en este manual , considerando las cuotas del usuario, definiciones de login y lilo.

• Para hacer un fortalecimiento del servicio haga una lista de servicios activos actualmente en el sistema.

       $ ps -aux
       $ netstat -pn -l -A inet 
       # /usr/sbin/lsof -i | grep LISTEN
  

  Necesitará instalar lsof-2.2 para que el tercer comando funcione (corralo como root). Debería ser consiente que lsof puede transladar la palabra LISTEN a su configuraciones de los locales.

• Para eliminar los servicios innecesario, primero determine como comienza y de que paquete proviene. Puede hacer esto fácil revisando el programa que escucha en ese puerto, el siguiente ejemplo le dice como hacer uso de estas herramientas y dpkg

       #!/bin/sh
       # ARREGLAME: this is quick and dirty; replace with a more robust script snippet
       for i in `sudo lsof -i | grep LISTEN | cut -d " " -f 1 |sort -u` ; do
        pack=`dpkg -S $i |grep bin |cut -f 1 -d : | uniq`
        echo "Service $i is installed by $pack";
        init=`dpkg -L $pack |grep init.d/ `
        if [ ! -z "$init" ]; then
        echo "and is run by $init"
        fi
       done
  

• Una vez que usted encuentre servicios no deseados, remueva el paquete (con dpkg --purge) o, si es útil, pero no debería estar habilitado al inicio, use update-rc.d (vea Deshabilitar los demonios, Sección 3.6.1) para removerlo del sistema de inicio.

• Para los servicios inetd (lanzado por el super demonio)usted podría revisar los servicios habilitados, por ejemplo con:

       $ grep -v "^#" /etc/inetd.conf | sort -u
  

  e incapacitar aquellos que no sean necesarios, comentando la línea que los incluye, removiendo los paquetes o usando update-inetd

• Si se tienen servicios de cubierta (usando estos /usr/sbin/tcpd) revise que los /etc/hosts.allow y /etc/hosts.deny estén configurados acorde a su política de servicios.

• Si es posible y dependiendo de cada servicio usted puede tener un límite de servicios, si desea limitar cuando se usa más de una interfaz externa para escuchar solamente cada una de ellas. Por ejemplo, si usted desea el acceso interno a FTP, haga que el demonio escuche en su interfaz de administración solamente, no sobre todas las interfaces (i.e, 0.0.0.0:21).

• Reinicie la máquina, o cámbiela para entrar a single user y vuelva a multiusuario con

       $ init 1
       (....)
       $ init 2
  

• Revise los servicios disponibles actualmente, y si es necesario repita estos pasos de nuevo.

• Instale, ahora los servicios necesarios, si usted todavia no lo ha hecho, y configurelos apropiadamente.

• Revise que usuarios son utilizados para correr los servicios deisponibles, por ejemplo con:

       $ for i in `/usr/sbin/lsof -i |grep LISTEN |cut -d " " -f 1 |sort -u`;
       do user=`ps -ef |grep $i |grep -v grep |cut -f 1 -d " "` ; echo
       "Service $i is running as user $user"; done
  

  y considere cambiar estos servicios para un usuario o grupo dado, que pueden también ser cambiados de directorio raíz, para incrementar la seguridad. Puede hacer esto cambiando el script /etc/init.d donde el servicio se activa. La mayoría de servicios en Debian usan start-stop-daemon de tal forma que puede usar la opción --change-uid y la opción --chroot para configurar estos servicios. Cambiar el directorio raíz de los servicios está más allá del alcance de este documento, pero ofrecemos una palabra de advertencia: Usted podría necesitar poner todos los archivos instalados por el servicio de paquetes usando dpkg -L y los paquetes de los que dependen en el ambiente de cambio de directorio raíz.

• Repita los pasos anteriores para revisar que los solamente los servicios deseados corran, y que lo hagan como el usuario o grupo desea.

• Pruebe la instalación de servicios para saber si trabajan como se esperaba.

• Compruebe el sistema usando un revisor de aseguramiento de vulnerabilidades (como nessus) para determinar las vulnerabilidades del sistema (configuraciones erróneas, servicios viejos o innecesarios)

• Instale medidas de instrusión por red y medidas de intrusión por servidor (como snort y logsentry).

• Repita el paso del revisor de red y verifique que los sistemas de detección de intrusiónd trabajan correctamente.

para los verdaderos paranoicos, considere también lo siguiente:

• Agregar capacidades de cortafuegos al sistema, aceptando conexiones entrantes solamente para los servicios ofrecidos y limite conexiones salientes para los autorizados.

• Vuelva a revisar la instalación con una nueva herramienta de revisión de vulnerabilidades.

• Revise las conexiones salientes usando un revisor de red desde el sistema a un servidor externo y verificque que las conexiones indeseadas no encuentren vía de salida.

ARREGLAME: Este procedimiento considera el servicio de fortelecimiento, pero no el sistema de fortalecimiento a nivel de usuario, incluir informaciones con respecto al chequeo de permisos del usuario, archivos setuid y paros en el sistema usando el sistema de archivos.

Manual de Seguridad de Debian