Hola a todos,
�Que opinais de lo que sigue?
�Me podeis ayudar con los *POR HACER*?
S-en-casa: (0.02) (potato)
SEGURIDAD: Porque asegurar una instalaci�n Debian en casa
Cambios:
0.01 1.11.00 primera versi�n
0.02 2.11.00 retoques
*POR HACER*
�Que hacemos con el demonio de impresi�n lpd? �Se puede imprimir sin lpr?
�Quiz�s usando el filtro y enviando a /dev/lp0 directamente?
�Hay algo como el endurecedor de seguridad bastille para Debian?
PORQUE:
Si no instalas ning�n servicio expresamente al acabar de instalar Potato
tienes 16 servicios activos (m�s o menos)
Si conoces poco de Linux y "lo instalas todo" tendr�s muchos m�s...
Los servicios de Debian son muy seguros, y las configuraciones por defecto
bastante seguras, pero a�n as� existe un riesgo...
RIESGO DE SEGURIDAD DE SERVICIOS ABIERTOS:
Riesgo es la posibilidad de un da�o
Antes o despu�s alguien puede descubrir un fallo de seguridad en alguno
de los servicios que ni sabes que tienes abiertos
Antes o despu�s alguien crear� un exploit de ese fallo
Antes o despu�s alguien escanear� la red buscando sistemas que comprometer
Cualquiera que est� conectado a Internet de forma permanente y registre
los intentos de acceso (yo lo hago) sabe que hay docenas de escaneos
buscando sistemas con fallos de seguridad cada d�a
Si tienes una conexi�n ADSL el riesgo es _MUCHO_ mayor, la tendencia de
los �ltimos ataques de denegaci�n de servicio distribuidos es troyanizar
usuarios con ADSL para emplearlos como "amplificador" y creo recordar
que precisamente los Linux eran de los m�s afectados
UNA RELACI�N DE FALLOS DE SEGURIDAD:
Debian en mi opini�n es una de las distribuciones m�s seguras, a�n as�
estos son fallos de seguridad en Debian, pero solo de los servicios activos
por defecto, que son los que afectar�an a usuarios caseros:
(si me equivoco me lo dec�s)
15.7.2000 rpc.statd -remote root exploit-
(Detectado *antes* de liberar Potato estable)
9.1.2000 lpr -root exploit-
(Este requer�a de una interacci�n con sendmail)
14.8.1999 cfingerd -root exploit-
(No afectaba al paquete deb, solo a los fuentes)
Si el fallo de rpc.statd se hubiera descubierto dos meses m�s tarde
(con Potato liberado) hubiera sido un desastre...
De momento hemos estado seguros...
POL�TICA CERO SERVICIOS:
Mi opini�n es que para usuarios caseros la mejor pol�tica de seguridad es
cero servicios (cero servicios = cero riesgo)
Si prevemos el _PEOR_ caso posible, si llega a suceder, estaremos
preparados ;-)
POL�TICA DE DEBIAN:
Potato no te avisa del riesgo (creo recordar), ni te permite desactivar
todos los servicios durante la instalaci�n
De momento tu decides si aceptas el riesgo o tomas algunas medidas
preventivas, que es lo que yo recomiendo
Creo que las distribuciones Linux deber�an dar la
opci�n de desactivar TODOS los servicios durante la instalaci�n,
no debiendo ser dif�cil volver a activarlos
COMO ASEGURAR (CERO SERVICIOS):
Mira mis chuletas (miniGuias):
S-puertos Mirar los servicios que tienes activos
S-inetd.conf Cerrar inetd
S-rpc Cerrar el portmap
S-X-potato Cerrar el puerto 6000 de las X
�Que hacemos con el demonio de impresi�n lpd?
lpr corre como root y no se puede restringir a un interface local
LPRng no corre como root pero tampoco se puede restringir
(lo he reportado como un bug)
cupsys se puede restringir en interface pero esta verde... :-(
ALTERNATIVAS:
Si decides tener servicios activos, ya no tienes un PC casero, tienes
un servidor y tienes que profundizar m�s en la seguridad...
Mira mis chuletas (miniGuias):
S-tcp-wrapper Restricci�n de acceso por IP _tcp-wrapper_
S-interface Restricci�n de acceso por interface
(en desarrollo) Cortafuegos
MAS INFO:
El articulo de Jay
"Why do I have to tighten security on my system? (why can't I just patch)"
http://www.securityportal.com/topnews/tighten20000720.html
Puedes encontrar m�s art�culos de seguridad de Jay en
http://www.bastille-linux.org/jay/
-Bastille es un endurecedor de seguridad para RedHat y Mandrake-
�Hay algo como el endurecedor de seguridad bastille para Debian?
Saludos,
--
-------------------------------------------------
Manel Marin e-mail: [EMAIL PROTECTED]
Linux Powered (Debian 2.2 potato) kernel 2.2.17
Mira mis chuletas de Linux en http://perso.wanadoo.es/manel3
-------------------------------------------------
Mi petici�n de drivers para Linux es la n� 33126
(Pasate por http://www.libranet.com/petition.html ;-)
