On Thu, 2 Nov 2000, Manel Marin wrote: > Hola a todos, > > �Que opinais de lo que sigue? > �Me podeis ayudar con los *POR HACER*? > > > > S-en-casa: (0.02) (potato) > SEGURIDAD: Porque asegurar una instalaci�n Debian en casa > > > Cambios: > 0.01 1.11.00 primera versi�n > 0.02 2.11.00 retoques > > > > *POR HACER* > �Que hacemos con el demonio de impresi�n lpd? �Se puede imprimir sin lpr? > �Quiz�s usando el filtro y enviando a /dev/lp0 directamente? > �Hay algo como el endurecedor de seguridad bastille para Debian? > > > > PORQUE: > > Si no instalas ning�n servicio expresamente al acabar de instalar Potato > tienes 16 servicios activos (m�s o menos)
Si bien es cierto no est� por encima de otras distribuciones que est�n pensadas para instalar en un pc de sobremesa, se supone que �stas si deberian capar servicios, ya que no instalan en algunos caso ni gcc ni librerias de desarrollo, que sigan quitando cosas utiles , o simplemnte curiosas :)) > > Si conoces poco de Linux y "lo instalas todo" tendr�s muchos m�s... > > Los servicios de Debian son muy seguros, y las configuraciones por defecto > bastante seguras, pero a�n as� existe un riesgo... > Bueno , pero proteger a los usuarios de sus decisiones es complicado , desconozco si el problema que planteas se da en todos los escenarios, pero evidentemente si alguien elige una instalaci�n de servidor es porque se supone que quiere dar servicios. no ?. � Pasa esto que nos cuentas con la instalaci�n en la que no se elige esta opci�n?. Si es asi seria planteable que debconfig dijera algo , en otro caso... > > RIESGO DE SEGURIDAD DE SERVICIOS ABIERTOS: > > Riesgo es la posibilidad de un da�o > > Antes o despu�s alguien puede descubrir un fallo de seguridad en alguno > de los servicios que ni sabes que tienes abiertos > Antes o despu�s alguien crear� un exploit de ese fallo > Antes o despu�s alguien escanear� la red buscando sistemas que comprometer > > Cualquiera que est� conectado a Internet de forma permanente y registre > los intentos de acceso (yo lo hago) sabe que hay docenas de escaneos > buscando sistemas con fallos de seguridad cada d�a > > Si tienes una conexi�n ADSL el riesgo es _MUCHO_ mayor, la tendencia de > los �ltimos ataques de denegaci�n de servicio distribuidos es troyanizar > usuarios con ADSL para emplearlos como "amplificador" y creo recordar > que precisamente los Linux eran de los m�s afectados > Volvemos a lo de siempre , en mi modesta opini�n los usuarios ya tienen madre, y no ser� por documentaci�n... Soy partidario de facilitar la vida en la medida de lo posible a los usuarios novele.. pero... debe pagar el precio toda la comunidad ? :)) �Les esta haciendo un favor cuando fomentas falsas sensaciones de seguridad y la casi total despreocupaci�n por lo que su sistema ha instalado, y por lo que hace al arrancar ? Qui�n me conozca sabr� bien que este no es un comentario sectario , ni progur�, pero nos guste o no debian esta lejos de ser una distribuci�n t�pica de dale a ok, b�sicamente lo es , pero en algunos momentos es interesante leer lo que aceptas,, muchos mensajes relacionados con la seguridad de algunos paquetes y las alternativas aparecen de esta forma durante la instalaci�n. > > UNA RELACI�N DE FALLOS DE SEGURIDAD: > > Debian en mi opini�n es una de las distribuciones m�s seguras, a�n as� > estos son fallos de seguridad en Debian, pero solo de los servicios > activos > por defecto, que son los que afectar�an a usuarios caseros: > (si me equivoco me lo dec�s) > > 15.7.2000 rpc.statd -remote root exploit- > (Detectado *antes* de liberar Potato estable) > > 9.1.2000 lpr -root exploit- > (Este requer�a de una interacci�n con sendmail) > > 14.8.1999 cfingerd -root exploit- > (No afectaba al paquete deb, solo a los fuentes) > Creo ademas que no se instala por defecto... > > Si el fallo de rpc.statd se hubiera descubierto dos meses m�s tarde > (con Potato liberado) hubiera sido un desastre... que hubieras tenido el paquete corregido al dia siguiente en security.debian.org, un apt-get update && apt-get -y upgrade en un cron con las pretinentes l�neas en el /etc/sources.list.. deb http://security.debian.org/debian-security potato/updates main \ contrib non-free deb http://security.debian.org/debian-non-US potato/non-US main \ contrib non-free > > De momento hemos estado seguros... Espero que desde hoy duermas mas tranquilo desde hoy :PP > > > POL�TICA CERO SERVICIOS: > > Mi opini�n es que para usuarios caseros la mejor pol�tica de seguridad es > cero servicios (cero servicios = cero riesgo) Cero lo que se dice cero... > > Si prevemos el _PEOR_ caso posible, si llega a suceder, estaremos > preparados ;-) > Nunca se est� preparado para lo peor, para lo cas� peor... > > POL�TICA DE DEBIAN: > > Potato no te avisa del riesgo (creo recordar), ni te permite desactivar > todos los servicios durante la instalaci�n > > De momento tu decides si aceptas el riesgo o tomas algunas medidas > preventivas, que es lo que yo recomiendo > > Creo que las distribuciones Linux deber�an dar la > opci�n de desactivar TODOS los servicios durante la instalaci�n, > no debiendo ser dif�cil volver a activarlos Es una alternativa para un pc casero, es cierto > > > COMO ASEGURAR (CERO SERVICIOS): > > Mira mis chuletas (miniGuias): > > S-puertos Mirar los servicios que tienes activos > S-inetd.conf Cerrar inetd > S-rpc Cerrar el portmap > S-X-potato Cerrar el puerto 6000 de las X > > �Que hacemos con el demonio de impresi�n lpd? > lpr corre como root y no se puede restringir a un interface local > LPRng no corre como root pero tampoco se puede restringir > (lo he reportado como un bug) > cupsys se puede restringir en interface pero esta verde... :-( > Que me dices del tcpserver del por estos lares a veces criticado djb ? permite restringir servicios a interfaces... O un paquetito de los muchos existentes para cerrar bajo tutela el kiosco casi a cal y canto con ipchains o netfilter ?? > > ALTERNATIVAS: > > Si decides tener servicios activos, ya no tienes un PC casero, tienes > un servidor y tienes que profundizar m�s en la seguridad... > Mira mis chuletas (miniGuias): > > S-tcp-wrapper Restricci�n de acceso por IP _tcp-wrapper_ > S-interface Restricci�n de acceso por interface > (en desarrollo) Cortafuegos > Hummm , no soy un visionario , solo tengo mala memoria , lo de arriba iba aqu� :)) > > > MAS INFO: > > El articulo de Jay > "Why do I have to tighten security on my system? (why can't I just patch)" > http://www.securityportal.com/topnews/tighten20000720.html > > Puedes encontrar m�s art�culos de seguridad de Jay en > http://www.bastille-linux.org/jay/ > -Bastille es un endurecedor de seguridad para RedHat y Mandrake- > �Hay algo como el endurecedor de seguridad bastille para Debian? > Debian es su concpeto es bastante mas espartana que los sombreros :)) Echale un ojo al LASG del a veces desinformado Kurt Seigfried ( pues si me dolio musso su art�culo en security portal , por cierto, alguien ha visto que haya hecho lo mismo con bughat 7 ?, no es un mensaje subliminal ni una pataleta , es solo un tema pra la reflexi�n ). Por otro lado hasta el GARL aconseja sabias pol�ticas de seguridad a aplicar en un pc casero, es cierto que se puede facilitar el acceso a la informaci�n , pero no se puede obligar a nadie a leer.... Lo dicho , un saludo y suerte :)) Por cierto , busca en freshmeat gibraltar , es una debian modificada y optimizaeda para correr en sistemas que hacen de router con la mayor parte del sistema de archivos en s�lo lectura y evidentemente muy capadita de servicios.
