Hola a todos, ¿Que opinais de lo que sigue? ¿Me podeis ayudar con los *POR HACER*?
S-en-casa: (0.02) (potato) SEGURIDAD: Porque asegurar una instalación Debian en casa Cambios: 0.01 1.11.00 primera versión 0.02 2.11.00 retoques *POR HACER* ¿Que hacemos con el demonio de impresión lpd? ¿Se puede imprimir sin lpr? ¿Quizás usando el filtro y enviando a /dev/lp0 directamente? ¿Hay algo como el endurecedor de seguridad bastille para Debian? PORQUE: Si no instalas ningún servicio expresamente al acabar de instalar Potato tienes 16 servicios activos (más o menos) Si conoces poco de Linux y "lo instalas todo" tendrás muchos más... Los servicios de Debian son muy seguros, y las configuraciones por defecto bastante seguras, pero aún así existe un riesgo... RIESGO DE SEGURIDAD DE SERVICIOS ABIERTOS: Riesgo es la posibilidad de un daño Antes o después alguien puede descubrir un fallo de seguridad en alguno de los servicios que ni sabes que tienes abiertos Antes o después alguien creará un exploit de ese fallo Antes o después alguien escaneará la red buscando sistemas que comprometer Cualquiera que esté conectado a Internet de forma permanente y registre los intentos de acceso (yo lo hago) sabe que hay docenas de escaneos buscando sistemas con fallos de seguridad cada día Si tienes una conexión ADSL el riesgo es _MUCHO_ mayor, la tendencia de los últimos ataques de denegación de servicio distribuidos es troyanizar usuarios con ADSL para emplearlos como "amplificador" y creo recordar que precisamente los Linux eran de los más afectados UNA RELACIÓN DE FALLOS DE SEGURIDAD: Debian en mi opinión es una de las distribuciones más seguras, aún así estos son fallos de seguridad en Debian, pero solo de los servicios activos por defecto, que son los que afectarían a usuarios caseros: (si me equivoco me lo decís) 15.7.2000 rpc.statd -remote root exploit- (Detectado *antes* de liberar Potato estable) 9.1.2000 lpr -root exploit- (Este requería de una interacción con sendmail) 14.8.1999 cfingerd -root exploit- (No afectaba al paquete deb, solo a los fuentes) Si el fallo de rpc.statd se hubiera descubierto dos meses más tarde (con Potato liberado) hubiera sido un desastre... De momento hemos estado seguros... POLÍTICA CERO SERVICIOS: Mi opinión es que para usuarios caseros la mejor política de seguridad es cero servicios (cero servicios = cero riesgo) Si prevemos el _PEOR_ caso posible, si llega a suceder, estaremos preparados ;-) POLÍTICA DE DEBIAN: Potato no te avisa del riesgo (creo recordar), ni te permite desactivar todos los servicios durante la instalación De momento tu decides si aceptas el riesgo o tomas algunas medidas preventivas, que es lo que yo recomiendo Creo que las distribuciones Linux deberían dar la opción de desactivar TODOS los servicios durante la instalación, no debiendo ser difícil volver a activarlos COMO ASEGURAR (CERO SERVICIOS): Mira mis chuletas (miniGuias): S-puertos Mirar los servicios que tienes activos S-inetd.conf Cerrar inetd S-rpc Cerrar el portmap S-X-potato Cerrar el puerto 6000 de las X ¿Que hacemos con el demonio de impresión lpd? lpr corre como root y no se puede restringir a un interface local LPRng no corre como root pero tampoco se puede restringir (lo he reportado como un bug) cupsys se puede restringir en interface pero esta verde... :-( ALTERNATIVAS: Si decides tener servicios activos, ya no tienes un PC casero, tienes un servidor y tienes que profundizar más en la seguridad... Mira mis chuletas (miniGuias): S-tcp-wrapper Restricción de acceso por IP _tcp-wrapper_ S-interface Restricción de acceso por interface (en desarrollo) Cortafuegos MAS INFO: El articulo de Jay "Why do I have to tighten security on my system? (why can't I just patch)" http://www.securityportal.com/topnews/tighten20000720.html Puedes encontrar más artículos de seguridad de Jay en http://www.bastille-linux.org/jay/ -Bastille es un endurecedor de seguridad para RedHat y Mandrake- ¿Hay algo como el endurecedor de seguridad bastille para Debian? Saludos, -- ------------------------------------------------- Manel Marin e-mail: [EMAIL PROTECTED] Linux Powered (Debian 2.2 potato) kernel 2.2.17 Mira mis chuletas de Linux en http://perso.wanadoo.es/manel3 ------------------------------------------------- Mi petición de drivers para Linux es la nº 33126 (Pasate por http://www.libranet.com/petition.html ;-)