Opino lo mismo que Gerardo, se ha vuelto una practica entre los usuarios de Fedora y CentOS, el inhabilitar SeLinux. Mi opinión particular como amante de la seguridad, nunca inhabilitar SeLinux, y mucho mas aun con tantos ataque a servidores que están a la merced de internet. Su implementacion no es compleja, si manejas el tema es tan sencillo como instalar cualquier aplicacion. La falta de conocimiento sobre el tema ha llevado a que en todos los tutoriales, lo primero que indica en a inhabilitar SeLinux, cosa que no comparto y en todas mis ayudas a los Posts hago este mismo comentario.
En los proximos dias estare publicado un artículo al respecto, sobre el uso de SeLinux; les hare llegar el link, para que pueda ampliar conocimiento y hagan uso de esta gran herramienta. *Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification <http://red.ht/17kDRCa> wcerv...@gmail.com cervi...@yahoo.com waltercerv...@hotmail.com *412-2042186* *426-8060118* <https://twitter.com/v0lp>@v0lp El 7 de junio de 2013 23:56, Carlos Restrepo <restrcar...@gmail.com>escribió: > El 7 de junio de 2013 21:46, Gerardo Barajas > <gerardo.bara...@gmail.com>escribió: > > > +1 > > On Jun 7, 2013 9:40 PM, "angel jauregui" <darkdiabl...@gmail.com> wrote: > > > > > Si eres buen administrador, verificas bien tu servidor, estas al tanto > de > > > tus LOGS y sabes como configurar tu firewall para la intranet (red > > local) e > > > internet, entonces SELinux sale sobrando :D... Pero otros podrian > opinar > > > que podria SELinux ser un buen bloqueador al momento que se instale > algun > > > malware, pero *piensa detenidamente*: en que situacion se instalaria > > algun > > > malware ?.... Necesitarias ser novato, bajar cualquier codigo, > > compilarlo y > > > probarlo... > > > > > > En ambientes REALES por lo general sabes lo que instalas y no es > > necesario > > > enfocarse en tener SELinux activo. > > > > > > Saludos ! > > > > > > > > > El 7 de junio de 2013 20:37, Wilmer Arambula > > > <tecnologiaterab...@gmail.com>escribió: > > > > > > > Estoy estudiando y leyendo mucho y me he topado con selinux por > defecto > > > lo > > > > tengo disable, he leído mucho hoy respecto al tema, y veo que unos > son > > > > partidarios a tenerlo desactivado y otros no, cual seria la > > recomendación > > > > ideal, y a parte de activar el firewall, cambiar puertos por defecto > de > > > > aplicaciones que otras medidas de seguridad podemos aplicar para > > proteger > > > > nuestros servidores, > > > > > > > > Saludos, > > > > > > > > -- > > > > *Wilmer Arambula. * > > > > *Asoc. Cooperativa Tecnologia Terabyte 124, RL. > > > > Tlfs: +58 02512623601 - +58 4125110921. > > > > Venezuela.* > > > > * > > > > Representante Para Venezuela.* > > > > _______________________________________________ > > > > CentOS-es mailing list > > > > CentOS-es@centos.org > > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > > > > > > > > > > -- > > > M.S.I. Angel Haniel Cantu Jauregui. > > > > > > Celular: (011-52-1)-899-871-17-22 > > > E-Mail: angel.ca...@sie-group.net > > > Web: http://www.sie-group.net/ > > > Cd. Reynosa Tamaulipas. > > > _______________________________________________ > > > CentOS-es mailing list > > > CentOS-es@centos.org > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > _______________________________________________ > > CentOS-es mailing list > > CentOS-es@centos.org > > http://lists.centos.org/mailman/listinfo/centos-es > > > Wilmer. > Por experiencia puedo decirte que cualquier herramienta o utilidad que le > implementes a tus servidores en seguridad nunca sobrara, así como existen > personas creativas existen también destructivas. > Hay que ser serios en esta profesión y conscientes que a diario se crean > códigos que pueden vulnerar la seguridad de los servidores y el hecho de > tener delante de un servidor un firewalls tipo appliance (check point, > Soniwalls, Fortinet etc) no te exime a ti como administrador de la > responsabilidad de asegurarlos. > > SELinux aumenta notoriamente la seguridad de un servidor y te coloco un > ejemplo: hasta la versión 5.9 de RHEL/CENTOS los productos Oracle no > convivían con SELinux, en la versión 6 y BD 11G Release 2 ya se puede dejar > activo, inclusive Oracle Linux (otro clon de RHEL) lo trae activo por > default. En esta herramienta Red Hat esta invirtiendo mucho recurso > (Horas/hombre) para continuar desarrollando controles sobre muchas mas > aplicaciones que antes no funcionaban con SELinux activo. > > En la medida que vallas avanzando en esta profesión iras creando tus > propias recetas para mantener entornos confiables, utilizo el termino > confiable porque personalmente creo que lo único seguro es que algún día > moriré. :D. > > Algunas recomendaciones serian: > > - Instala únicamente lo que necesites > - Si tienes un servicio que no utilizas desactívalo o desinstálalo > - Mantén actualizado tu servidor > - Actívale el Firewalls y solo permite los puertos que requieras, se un > poco paranoico y permite el acceso a esos puertos únicamente a las > direcciones ip de los usuarios que utilizaran el servicio > - Utiliza tcpwrappers > - Deja el SELInux activo > - En la medida de lo posible ubica los logs del sistema en otro servidor > - Restringe el acceso directo como root > - Establece un (1) solo usuario que pueda escalar privilegios del root > - Cambia periódicamente las claves utilizando caracteres alfanuméricos y no > palabras que se encuentren en el diccionario > - Permite el acceso a la maquina (ingreso al SO) únicamente a un rango de > IP (Admon, operador, usuarios que lo necesiten) > - Utiliza sudoers para controlar la ejecución de comandos que puedan > comprometer el SO > - Restringe el acceso mediante el SSH a usuarios que lo necesite (tunea > este servicio y todos los servicios que tengas activos en tus servidores) > - Habilita el uso de certificados en el SSH (llave publica y privada) > - Utiliza JAIL (Jaulas) > - Solo utiliza ambiente grafico en los servidores si es absolutamente > necesario, o sube el ambiente grafico cuando lo necesites luego bájalo > nuevamente > - Restringe el reinicio del sistema mediante la terrorífica combinación de > teclas Ctrl+Alt+Supr > - Restringe a una o dos ttys el acceso en consola (por default siempre > queda en F1, restringe que solo ingresen por F5 por ejemplo). > - Bloquea las cuentas que no utilicen (puedes implementar esta política y > el sistema lo realizara automáticamente) > - Implementa en tu sistema que éste forcé a los usuarios a cambiar su clave > periódicamente y que esta no sea la misma que estaban utilizando. > - Configura tu firewalls para que bloquee los ataques de fuerza bruta hacia > el puerto del ssh > - Cambia los puertos por omisión en las aplicaciones que tengas instaladas > en tus servidores > - Instala un IDS (Software para detectar y prevenir intrusiones en tu red ) > - Testea periódicamente (por lo menos dos veces al año) tus servidores en > busca de vulnerabilidades y remedia las encontradas (puedes usar para este > fin Backtrack o Nessus) > - Revisa periódicamente los logs del SO y de las aplicaciones. > - Coloca clave al boot (esto te puede implicar el ir a sitio ante un > reinicio de la maquina por falla eléctrica o algún evento) > - Cifra las particiones criticas (no olvides la clave porque estas "frito") > - Realiza backups de los archivos de configuración de tus servicios, de las > aplicaciones y testéalos (realiza pruebas de restauración periódicamente). > - Y finalmente con igual o mayor nivel de importancia: Documéntalo todo > (Esto te permitirá volver a instalar tus servidores y aplicaciones si > después de tantos controles, alguien entra a tu datacenter y te roba el > disco duro, se incendian tus equipos, hay una inundación o un > terremoto jejeje). > > > -- > Carlos R!. > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es