Administración de sistemas, Hardening

Linux hardening tips

Print Friendly, PDF & Email

Después de tener configuradas las copias de seguridad toca algunas pinceladas de hardening:

Siempre que securizamos una máquina tenemos que tener claro de que nos protegemos cuando ponemso una medida, como va repercutir en el funcionamiento del sistema y a que le afecta porque si no podemos encontrarnos con que la seguridad se convierta en una barrera en lugar de en una protección, o dicho de otro modo inmaginaros una casa con un cerrojo superseguro, tan seguro que no deja salir a los habitantes de la casa, está bien , es muy seguro, pero no nos sirve.

Empecemos por el princpio

Usuarios

En gnu/llinux hay algunos ficheros interesantes que nos permiten indicarle al sistema que se comporte de forma determinada:

/etc/adduser.conf  y /etc/deluser.con

El sirve a para indicarle al sistema cómo deberá de crear los nuevos usuarios, cual serán por defecto los permisos de los directorios que se creen, si estarán agrupados por grupo .. etc

El seguro sirve para decirle al sistema como se comportará, si borrará lo home de ese usuario o sólamente el propio usuario.. etc.

En nuestro caso como lo que prentendemos hacer es un «combo» de hardening de los usuarios de la máquina, en el /etc/adduser.conf modifico :

# If DIR_MODE is set, directories will be created with the specified
# mode. Otherwise the default mode 0755 will be used.
DIR_MODE=0750 #Otros usuarios del sistema no tendrán ningún permiso sobre la home del resto de usuarios

Ahora crearemos un usuario administrador y sólo esté usuario y los miembros de su grupo tendrán privilegios para acceder a root o sudo:

root@kaohosting:~#  addgroup –system wheel

root@kaohosting:~#  adduser admin

root@kaohosting:~# usermod -G wheel admin

Ahora abrimos el fichero de configuración /etc/pam.d/su y descomentamos lo siguiente:

# Uncomment this to force users to be a member of group root
# before they can use `su’. You can also add «group=foo»
# to the end of this line if you want to use a group other
# than the default «root» (but this may have side effect of
# denying «root» user, unless she’s a member of «foo» or explicitly
# permitted earlier by e.g. «sufficient pam_rootok.so»).
# (Replaces the `SU_WHEEL_ONLY’ option from login.defs)
auth       required   pam_wheel.so

Un buen articulo sobre este fichero es http://www.tuxradar.com/content/how-pam-works

Nosotros por el momento queremos que el único usuario que tenga acceso a su sea el pertenciente al grupo wheel

Con esto sólo los usuarios que elijamos podrán ejecutar su, el resto no, pero siguen pudiendo ejecutar sudo, configuremos el /etc/sudoers, en este primer paso como estamos configurando nuestro admin simplemente le dirememos a sudo que los miembros del grupo wheel puede ejecutar cualquier comando de sudo, voy a hacer un post entero sobre este fichero por loque de momento lo dejamos así.

visudo

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL
%wheel  ALL=(ALL:ALL) ALL

en la seccion de Defaults poner
Defaults loglinelen=0 # disable line wrapping in log.
Defaults logfile=/var/log/sudo.log # or some other filename.

Comprobamos que efectivamente funciona, un usuario normal podrá ejecutar sudo únicamente con los comando asignados a este usuario y no necesitará uso de contraseá para estos comandos, no prodrá ejecutar ningún otro comando, no prodrá ejecutar su o su-

informatico@kaohosting:~$ sudo su
[sudo] password for informatico:
informatico no está en el archivo sudoers. Se informará de este incidente.
informatico@kaohosting:~$ su
Contraseña:
su: Permiso denegado

SSH

Ahora lo que hacemso es que sólo el usuario admin pueda acceder por ssh a la máquina.

despues usuarios

rotacion logs

Tagged , , ,

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.