nimiux 14/08/08 15:16:44
Modified: security-handbook.xml shb-chroot.xml
shb-firewalls.xml shb-intrusion.xml shb-kernel.xml
shb-limits.xml shb-logging.xml shb-mounting.xml
shb-perms.xml shb-pre.xml shb-services.xml
shb-tcp.xml shb-tight.xml shb-uptodate.xml
Log:
Fix typos. Reformat paragraphs. No version bump
Revision Changes Path
1.6 xml/htdocs/doc/es/security/security-handbook.xml
file :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/security-handbook.xml?rev=1.6&view=markup
plain:
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/security-handbook.xml?rev=1.6&content-type=text/plain
diff :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/security-handbook.xml?r1=1.5&r2=1.6
Index: security-handbook.xml
===================================================================
RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/security-handbook.xml,v
retrieving revision 1.5
retrieving revision 1.6
diff -u -r1.5 -r1.6
--- security-handbook.xml 7 Apr 2010 14:47:08 -0000 1.5
+++ security-handbook.xml 8 Aug 2014 15:16:44 -0000 1.6
@@ -1,10 +1,10 @@
<?xml version = '1.0' encoding = 'UTF-8' ?>
-<!-- $Header:
/var/cvsroot/gentoo/xml/htdocs/doc/es/security/security-handbook.xml,v 1.5
2010/04/07 14:47:08 chiguire Exp $ -->
+<!-- $Header:
/var/cvsroot/gentoo/xml/htdocs/doc/es/security/security-handbook.xml,v 1.6
2014/08/08 15:16:44 nimiux Exp $ -->
<!DOCTYPE book SYSTEM "/dtd/book.dtd">
<book link="/doc/es/security/security-handbook.xml" lang="es">
<title>Manual de Seguridad de Gentoo</title>
-
+
<author title="Autor">
<mail link="k...@insecurity.dk">Kim Nielsen</mail>
</author>
@@ -112,7 +112,8 @@
<chapter>
<title>Consideraciones previas a la instalación</title>
<abstract>
-¿Por qué la seguridad es una parte importante para cualquier administrador de
servidores?
+¿Por qué la seguridad es una parte importante para cualquier administrador
+de servidores?
</abstract>
<include href="shb-pre.xml" />
</chapter>
@@ -160,7 +161,7 @@
<chapter>
<title>PAM (Pluggable Authentication Modules)</title>
<abstract>
-Módulos de Autentificación Enlazables.
+Módulos de Autenticación Enlazables.
</abstract>
<include href="shb-pam.xml" />
</chapter>
@@ -174,7 +175,7 @@
</chapter>
<chapter>
-<title>Seguridad del Kernel</title>
+<title>Seguridad del Núcleo</title>
<abstract>
Asegure el núcleo.
</abstract>
1.3 xml/htdocs/doc/es/security/shb-chroot.xml
file :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-chroot.xml?rev=1.3&view=markup
plain:
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-chroot.xml?rev=1.3&content-type=text/plain
diff :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-chroot.xml?r1=1.2&r2=1.3
Index: shb-chroot.xml
===================================================================
RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-chroot.xml,v
retrieving revision 1.2
retrieving revision 1.3
diff -u -r1.2 -r1.3
--- shb-chroot.xml 16 Dec 2005 14:36:40 -0000 1.2
+++ shb-chroot.xml 8 Aug 2014 15:16:44 -0000 1.3
@@ -1,5 +1,5 @@
<?xml version='1.0' encoding='UTF-8'?>
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-chroot.xml,v
1.2 2005/12/16 14:36:40 chiguire Exp $ -->
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-chroot.xml,v
1.3 2014/08/08 15:16:44 nimiux Exp $ -->
<!DOCTYPE sections SYSTEM "/dtd/book.dtd">
<!-- The content of this document is licensed under the CC-BY-SA license -->
@@ -15,15 +15,22 @@
<body>
<p>
-Hacer chroot (<c>enjaular</c>) a un servicio es la manera de limitar el
entorno de un servicio (o usuario) para que acceda sólo a lo que debería y para
que no escale acceso (o consiga información) que le permita un acceso de
-root. Ejecutando el servicio como un usuario distinto de <c>root</c>
(<c>nobody</c>, <c>apache</c>, <c>named</c>) un atacante sólo podrá acceder a
los ficheros con permisos para dicho usuario. Lo que significa que un atacante
no conseguirá el acceso de root incluso si los servicios tuvieran algún defecto
de seguridad.
+Hacer chroot (<c>enjaular</c>) a un servicio es la manera de limitar
+el entorno de un servicio (o usuario) para que acceda solo a lo que
+debería y para que no escale acceso (o consiga información) que le
+permita un acceso de root. Ejecutando el servicio como un usuario
+distinto de <c>root</c> (<c>nobody</c>, <c>apache</c>, <c>named</c>)
+un atacante solo podrá acceder a los ficheros con permisos para
+dicho usuario. Lo que significa que un atacante no conseguirá el
+acceso de root incluso si los servicios tuvieran algún defecto de
+seguridad.
</p>
<p>
Algunos servicios como <c>pure-ftpd</c> y <c>bind</c> tienen
características para hacer chroot, pero otros no. Si el servicio lo
-soporta, úselo, si no usted tiene que saber como crearse el suyo
-propio. Veamos como crear un chroot. Para una comprensión elemental de
+soporta, úselo, si no tendrá que saber como crearse el suyo propio.
+Veamos como crear un chroot. Para una comprensión elemental de
como trabaja un chroot, vamos a probarlo con <c>bash</c> (la manera
fácil de aprenderlo)
</p>
@@ -35,7 +42,7 @@
</p>
<p>
-El siguiente comando creará una lista con las librerías usadas por
+La siguiente orden creará una lista con las librerías usadas por
<c>bash</c>.
</p>
@@ -59,30 +66,30 @@
<p>
Luego copie los ficheros usados por <c>bash</c> (<path>/lib</path>) al
-directorio <path>lib</path> del chroot y copie también el comando bash
-al directorio <path>bin</path> del chroot. Esto creará exactamente el
-mismo entorno, pero con menos funcionalidad. Después de copiarlo
-pruébelo:<c>chroot /chroot/bash /bin/bash</c>. Si obtiene un prompt
-indicado <path>/</path> ¡funciona! En caso contrario le informará
-adecuadamente de qué fichero falta. Algunas librerías compartidas
-dependen unas de otras.
+directorio <path>lib</path> del chroot y copie también el intérprete
+bash al directorio <path>bin</path> del chroot. Esto creará exactamente
+el mismo entorno, pero con menos funcionalidad. Después de copiarlo
+pruébelo:<c>chroot /chroot/bash /bin/bash</c>. Si obtiene un símbolo
+de espera de órdenes indicado <path>/</path> ¡Funciona! En caso
+contrario le informará adecuadamente de qué fichero falta. Algunas
+librerías compartidas dependen unas de otras.
</p>
<p>
-Se dará cuenta que dentro del chroot sólo funciona <c>echo</c>. Esto
-ocurre porque no tenemos otros comandos dentro del entorno chroot que
+Se dará cuenta que dentro del chroot solo funciona <c>echo</c>. Esto
+ocurre porque no tenemos otras órdenes dentro del entorno chroot que
no sean bash y <c>echo</c> que es una funcionalidad incorporada.
</p>
<p>
-Esta es básicamente la manera en la que usted podría crear un servicio
+Esta es básicamente la manera en la que podría crear un servicio
ejecutado con chroot. La única diferencia es que los servicios a veces
depende de servicios y ficheros de configuración en
<path>/etc</path>. Simplemente cópielos (los dispositivos pueden
copiarse con <c>cp -a</c>) en el entorno de chroot, edite el guión de
inicio init para que use chroot antes de ejecutarlo. Puede resultar
difícil encontrar qué dispositivos y ficheros de configuración
-necesita un servicio. Para esto es práctico el comando
+necesita un servicio. Para esto es práctica la orden
<c>strace</c>. Inicie el servicio en bash con <c>/usr/bin/strace</c> y
busque los open, read, stat y puede que connect. Lo que le dará una
pista de qué ficheros copiar. Pero en muchos casos basta copiar el
@@ -104,14 +111,15 @@
proporcionando un entorno de hardware y sistema operativo que parece
ser el propio de una única máquina. Su beneficio de seguridad está en
que si es comprometido el servidor ejecutado en la máquina virtual,
-sólo se ve afectado este servidor virtual no la instalación padre.
+solo se ve afectado este servidor virtual no la instalación padre.
</p>
<p>
-Para más información acerca de como instalar User Mode Linux consulte <uri
link="http://www.gentoo.org/doc/en/uml.xml";>User Mode Linux Guide</uri>.
+Para más información acerca de como instalar User Mode Linux consulte
+<uri link="http://www.gentoo.org/doc/es/uml.xml";>User Mode Linux
+Guide</uri>.
</p>
</body>
</section>
-
</sections>
1.6 xml/htdocs/doc/es/security/shb-firewalls.xml
file :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-firewalls.xml?rev=1.6&view=markup
plain:
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-firewalls.xml?rev=1.6&content-type=text/plain
diff :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-firewalls.xml?r1=1.5&r2=1.6
Index: shb-firewalls.xml
===================================================================
RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-firewalls.xml,v
retrieving revision 1.5
retrieving revision 1.6
diff -u -r1.5 -r1.6
--- shb-firewalls.xml 6 Mar 2007 12:35:04 -0000 1.5
+++ shb-firewalls.xml 8 Aug 2014 15:16:44 -0000 1.6
@@ -1,5 +1,5 @@
<?xml version='1.0' encoding='UTF-8'?>
-<!-- $Header:
/var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-firewalls.xml,v 1.5
2007/03/06 12:35:04 chiguire Exp $ -->
+<!-- $Header:
/var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-firewalls.xml,v 1.6
2014/08/08 15:16:44 nimiux Exp $ -->
<!DOCTYPE sections SYSTEM "/dtd/book.dtd">
<!-- The content of this document is licensed under the CC-BY-SA license -->
@@ -25,7 +25,7 @@
<p>
¡Así que piénselo antes de implementar un cortafuegos! ¿Realmente lo
-necesita? Si cree que lo necesita, escriba una política sobre cómo
+necesita? Si cree que lo necesita, escriba una directriz sobre cómo
debería funcionar, qué tipo de cortafuegos, y cómo debería
operar. Pero primero lea esta guía.
</p>
@@ -54,6 +54,7 @@
servicios (<c>sshd</c> es el único) y asegurada tal como recomienda
esta guía.
</p>
+
</body>
</section>
@@ -101,7 +102,7 @@
<li>
Los datos o peticiones contenidos en un paquete permitido pueden
contener datos no esperados que el atacante puede usar para explotar
- fallos en servicios en el cortafuegos o a través de él
+ fallos en servicios en el cortafuegos o a través de él
</li>
<li>Normalmente es un punto único de fallo</li>
</ul>
@@ -135,6 +136,7 @@
<note>
Se recomienda utilizar iptables. Ipchains es obsoleto.
</note>
+
</body>
</section>
@@ -173,10 +175,11 @@
<ul>
<li>
Opera en la Capa de Trasporte y puede requerir una modificación
- sustancial en el programa que normalmente provee de las funciones de
+ sustancial en el programa que normalmente provee de las funciones de
transporte.
</li>
</ul>
+
</body>
</section>
@@ -237,6 +240,7 @@
<ul>
<li><uri link="http://www.squid-cache.org/";>Squid</uri></li>
</ul>
+
</body>
</section>
@@ -246,14 +250,15 @@
<p>
Para poner en funcionamiento iptables, tiene que estar habilitado en
-el kernel. Yo lo he añadido como módulo (el comando <c>iptables</c> lo
+el núcleo. Yo lo he añadido como módulo (la orden <c>iptables</c> lo
cargará como se necesita) y he recompilado mi núcleo (pero puede
compilarlo embebido, si quiere deshabilitar los Módulos Cargables del
Núcleo como se indicaba anteriormente). Para más información al
-respecto de como configurar su kernel para iptables vea a <uri
link="http://iptables-tutorial.frozentux.net/iptables-tutorial.html#PREPARATIONS";>Iptables
-Tutorial Chapter 5: Preparations</uri>. Después de que haya
-compilado su nuevo kernel (o mientras lo compila) tiene que añadir el
-comando <c>iptables</c> . Simplemente con <c>emerge iptables</c> ya
+respecto de como configurar su núcleo para iptables vea a <uri
+link="http://iptables-tutorial.frozentux.net/iptables-tutorial.html#PREPARATIONS";>
+Iptables Tutorial Chapter 5: Preparations</uri>. Después de que haya
+compilado su nuevo núcleo (o mientras lo compila) tiene que añadir la
+orden <c>iptables</c> . Simplemente con <c>emerge iptables</c> ya
debería funcionar.
</p>
@@ -264,8 +269,8 @@
<p>
Iptables es el nuevo y fuertemente mejorado filtro de paquetes en el
-kernel de Linux 2.4.x. Es el sucesor del anterior filtro de paquetes
-ipchains del kernel de linux 2.2.x. Una de las más grandes mejoras es
+núcleo de Linux 2.4.x. Es el sucesor del anterior filtro de paquetes
+ipchains del núcleo de linux 2.2.x. Una de las más grandes mejoras es
que iptables es capaz de realizar filtrado de estado de paquetes. Con
el filtrado de estado es posible mantener el registro de cada conexión
TCP establecida.
@@ -347,7 +352,12 @@
</p>
<note>
-Otra opción para prevenir inundaciones SYN es <uri
link="http://cr.yp.to/syncookies.html";>SYN cookies</uri>, que permite a su
ordenador responder a paquetes SYN sin llenar el espacio de la cola de
conexiones. Las galletas (cookies) SYN pueden ser habilitadas en la
configuración del Núcleo de Linux, pero hoy en día todavía están consideradas
como experimentales.
+Otra opción para prevenir inundaciones SYN es
+<uri link="http://cr.yp.to/syncookies.html";>SYN cookies</uri>, que
+permite a su ordenador responder a paquetes SYN sin llenar el espacio
+de la cola de conexiones. Las galletas (cookies) SYN pueden ser
+habilitadas en la configuración del Núcleo de Linux, pero hoy en día
+todavía están consideradas como experimentales.
</note>
<p>
@@ -355,7 +365,7 @@
</p>
<p>
-Cuando iptables se activa en el kernel proporciona 5 lugares donde
+Cuando iptables se activa en el núcleo proporciona 5 lugares donde
especificar las reglas. Estos lugares se llaman <c>INPUT</c>,
<c>OUTPUT</c>, <c>FORWARD</c>, <c>PREROUTING</c> y
<c>POSTROUTING</c>. Cada uno de ellos es a su vez una cadena que
@@ -366,7 +376,7 @@
</p>
<p>
-Usted puede añadir reglas directamente en estas 5 cadenas principales
+Puede añadir reglas directamente en estas 5 cadenas principales
o crear nuevas cadenas y añadirlas como si fueran reglas a una cadena
existente. Iptables admite las siguientes opciones.
</p>
@@ -470,7 +480,7 @@
</tr>
<tr>
<ti>-f</ti>
- <ti>Sólo hacer coincidir el segundo fragmento o posteriores</ti>
+ <ti>Solo hacer coincidir el segundo fragmento o posteriores</ti>
</tr>
<tr>
<ti>-V</ti>
@@ -484,7 +494,7 @@
<p>
Primero trataremos de bloquear todos los paquetes ICMP en nuestra
-máquina, sólo para familiarizarnos con iptables.
+máquina, solo para familiarizarnos con iptables.
</p>
<pre caption="Bloquear todos los paquetes ICMP">
@@ -523,7 +533,7 @@
<p>
Ahora veamos el filtrado de paquetes de estado en iptables. Si
buscamos activar una inspección de estado en los paquetes entrantes en
-eth0, podríamos activarlo con el comando:
+eth0, podríamos activarlo con la orden:
</p>
<pre caption="Acepta paquetes originados en una conexión entrante o ya
establecida">
@@ -532,10 +542,10 @@
<p>
Esto aceptará cualquier paquete de una conexión ya establecida o con
-relación a la cadena INPUT. Usted también puede desechar cualquier
+relación a la cadena INPUT. También puede desechar cualquier
paquete que no esté en la tabla de estado indicando <c>iptables -A
-INPUT -i eth0 -m state --state INVALID -j DROP</c> justo antes del
-comando anterior. Esto habilita el filtrado de estado de paquetes en
+INPUT -i eth0 -m state --state INVALID -j DROP</c> justo antes de
+la orden anterior. Esto habilita el filtrado de estado de paquetes en
ipetables cargando la extensión "estate". Si quiere permitir
a otros conectarse a su máquina puede usar el indicador <c>--state
NEW</c>. Iptables contiene algunos módulos con propósitos
@@ -590,7 +600,7 @@
# <i>iptables -X micadena</i>
# <i>iptables -N micadena</i>
# <i>iptables -A micadena -i eth0 -m state --state ESTABLISHED,RELATED -j
ACCEPT</i>
-<comment>(El comportamiento por defecto es permitir todo el tráfico saliente.
El entrante es desechado.)</comment>
+<comment>(El comportamiento por defecto es permitir todo el tráfico saliente.
El entrante se desecha.)</comment>
# <i>iptables -P OUTPUT ACCEPT</i>
# <i>iptables -P INPUT DROP</i>
<comment>(Y la añadimos a la cadena INPUT)</comment>
@@ -598,12 +608,14 @@
</pre>
<p>
-Aplicando la regla a la cadena input obtenemos la política: Se permite
+Aplicando la regla a la cadena input obtenemos la directriz: Se permite
todos los paquetes salientes y se desechan todos los entrantes.
</p>
<p>
-Puede encontrar más documentación en <uri
link="http://www.iptables.org/documentation/index.html#HOWTO";>Documentación
sobre netfilter/iptables</uri>.
+Puede encontrar más documentación en <uri
+link="http://www.iptables.org/documentation/index.html#HOWTO";>
+Documentación sobre netfilter/iptables</uri>.
</p>
<p>
@@ -613,7 +625,7 @@
<ul>
<li>
- Sólo se permiten las conexiones hacia el cortafuegos a través de SSH
+ Solo se permiten las conexiones hacia el cortafuegos a través de SSH
(puerto 22)
</li>
<li>
@@ -665,7 +677,7 @@
$IPTABLES -N allowed-connection
$IPTABLES -F allowed-connection
$IPTABLES -A allowed-connection -m state --state ESTABLISHED,RELATED -j
ACCEPT
- $IPTABLES -A allowed-connection -i $IINTERFACE -m limit -j LOG --log-prefix
\
+ $IPTABLES -A allowed-connection -i $IINTERFACE -m limit -j LOG --log-prefix \
"Bad packet from ${IINTERFACE}:"
$IPTABLES -A allowed-connection -j DROP
@@ -673,9 +685,9 @@
einfo "Creando la cadena icmp"
$IPTABLES -N icmp_allowed
$IPTABLES -F icmp_allowed
- $IPTABLES -A icmp_allowed -m state --state NEW -p icmp --icmp-type \
+ $IPTABLES -A icmp_allowed -m state --state NEW -p icmp --icmp-type \
time-exceeded -j ACCEPT
- $IPTABLES -A icmp_allowed -m state --state NEW -p icmp --icmp-type \
+ $IPTABLES -A icmp_allowed -m state --state NEW -p icmp --icmp-type \
destination-unreachable -j ACCEPT
$IPTABLES -A icmp_allowed -p icmp -j LOG --log-prefix "Bad ICMP
traffic:"
$IPTABLES -A icmp_allowed -p icmp -j DROP
@@ -685,11 +697,11 @@
$IPTABLES -N allow-ssh-traffic-in
$IPTABLES -F allow-ssh-traffic-in
#Protección "Flood"
- $IPTABLES -A allow-ssh-traffic-in -m limit --limit 1/second -p tcp
--tcp-flags \
+ $IPTABLES -A allow-ssh-traffic-in -m limit --limit 1/second -p tcp
--tcp-flags \
ALL RST --dport ssh -j ACCEPT
- $IPTABLES -A allow-ssh-traffic-in -m limit --limit 1/second -p tcp
--tcp-flags \
+ $IPTABLES -A allow-ssh-traffic-in -m limit --limit 1/second -p tcp
--tcp-flags \
ALL FIN --dport ssh -j ACCEPT
- $IPTABLES -A allow-ssh-traffic-in -m limit --limit 1/second -p tcp
--tcp-flags \
+ $IPTABLES -A allow-ssh-traffic-in -m limit --limit 1/second -p tcp
--tcp-flags \
ALL SYN --dport ssh -j ACCEPT
$IPTABLES -A allow-ssh-traffic-in -m state --state RELATED,ESTABLISHED -p
tcp --dport ssh -j ACCEPT
@@ -702,9 +714,9 @@
einfo "Creando la cadena para el tráfico DNS saliente"
$IPTABLES -N allow-dns-traffic-out
$IPTABLES -F allow-dns-traffic-out
- $IPTABLES -A allow-dns-traffic-out -p udp -d $DNS1 --dport domain \
+ $IPTABLES -A allow-dns-traffic-out -p udp -d $DNS1 --dport domain \
-j ACCEPT
- $IPTABLES -A allow-dns-traffic-out -p udp -d $DNS2 --dport domain \
+ $IPTABLES -A allow-dns-traffic-out -p udp -d $DNS2 --dport domain \
-j ACCEPT
einfo "Creando la regla para el tráfico http/https saliente"
@@ -717,22 +729,22 @@
einfo "Creando la cadena de detección de scanner de puertos"
$IPTABLES -N check-flags
$IPTABLES -F check-flags
- $IPTABLES -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -m limit \
- --limit 5/minute -j LOG --log-level alert --log-prefix
"NMAP-XMAS:"
+ $IPTABLES -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -m limit \
+ --limit 5/minute -j LOG --log-level alert --log-prefix
"NMAP-XMAS:"
$IPTABLES -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
- $IPTABLES -A check-flags -p tcp --tcp-flags ALL ALL -m limit --limit \
+ $IPTABLES -A check-flags -p tcp --tcp-flags ALL ALL -m limit --limit \
5/minute -j LOG --log-level 1 --log-prefix "XMAS:"
$IPTABLES -A check-flags -p tcp --tcp-flags ALL ALL -j DROP
- $IPTABLES -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG \
+ $IPTABLES -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG \
-m limit --limit 5/minute -j LOG --log-level 1 --log-prefix
"XMAS-PSH:"
$IPTABLES -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
- $IPTABLES -A check-flags -p tcp --tcp-flags ALL NONE -m limit \
+ $IPTABLES -A check-flags -p tcp --tcp-flags ALL NONE -m limit \
--limit 5/minute -j LOG --log-level 1 --log-prefix "NULL_SCAN:"
$IPTABLES -A check-flags -p tcp --tcp-flags ALL NONE -j DROP
- $IPTABLES -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -m limit \
+ $IPTABLES -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -m limit \
--limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/RST:"
$IPTABLES -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
- $IPTABLES -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit \
+ $IPTABLES -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit \
--limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/FIN:"
$IPTABLES -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
@@ -836,7 +848,7 @@
echo "rules) fuerza el establecimiento de nuevas reglas"
echo "save) gruada la configuración en ${FIREWALL}"
echo "restore) restaura la configuración desde ${FIREWALL}"
- echo "showstatus) muestra el estatus"
+ echo "showstatus) muestra el estatus"
}
</pre>
@@ -845,13 +857,14 @@
</p>
<ol>
-<li>Cree su política de cortafuegos antes de implementarlo</li>
+<li>Cree su directriz de cortafuegos antes de implementarlo</li>
<li>Hágalo simple</li>
<li>
-Conozca cómo trabajan los protocolos (lea lo más relevante de <uri
link="http://www.ietf.org/";>RFC</uri> (Request For Comments))
+Conozca cómo trabajan los protocolos (lea lo más relevante de
+<uri link="http://www.ietf.org/";>RFC</uri> (Request For Comments))
</li>
<li>
-Tenga bien presente que un cortafuegos sólo es otro software
+Tenga bien presente que un cortafuegos solo es otro software
ejecutándose como root
</li>
<li>Compruebe su cortafuegos</li>
@@ -859,10 +872,12 @@
<p>
Si piensa que iptables es difícil de comprender o le lleva mucho
-tiempo configurar un cortafuegos decente, puede usar <uri
link="http://www.shorewall.net";>Shorewall</uri>. Básicamente utiliza
+tiempo configurar un cortafuegos decente, puede usar
+<uri link="http://www.shorewall.net";>Shorewall</uri>. Básicamente utiliza
iptables para generar las reglas del cortafuegos, pero se concentra en
reglas y no en protocolos específicos.
</p>
+
</body>
</section>
@@ -884,11 +899,11 @@
("banners") en lugar de un filtro basado en sitios porno. La
razón de esto es que Gentoo.org <e>no</e> debe ser catalogado como un
sitio pornográfico. Y yo no quiero malgastar mi tiempo intentando
-buscar algunos buenos sitios para usted.
+buscar algunos sitios buenos.
</p>
<p>
-En este caso, mi política de acceso es:
+En este caso, mi directriz de acceso es:
</p>
<ul>
@@ -919,7 +934,7 @@
# Enlaza con una IP y un puerto
http_port 10.0.2.1:3128
-# Configuración standard
+# Configuración standard
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
@@ -1010,14 +1025,14 @@
</pre>
<note>
-Por favor, tenga en cuenta los [ ] con mayúsculas y minúsculas en cada
+Por favor, tenga en cuenta los [] con mayúsculas y minúsculas en cada
carácter. Esto sirve para que alguien no se salte las reglas
accediendo a un fichero llamado AvI en lugar de avi.
</note>
<p>
Ahora vamos a añadir las expresiones regulares para identificar a las
-pancartas. Probablemente usted será más creativo que yo:
+pancartas. Probablemente se puede ser más creativo.
</p>
<pre caption="/etc/squid/banner-ads.acl">
@@ -1068,10 +1083,9 @@
<BODY>
<H1>Anuncio filtrado</H1>
</pre>
-<p/>
<note>
-No cierre los tags <HTML> <BODY>. Eso lo hará squid.
+No cierre las etiquetas <HTML> <BODY>. Eso lo hará squid.
</note>
<p>
@@ -1097,7 +1111,7 @@
</p>
<note>
-En Mozilla Firefox se consigue en Edición->Preferencias->Advanzadas->Red.
+En Mozilla Firefox se consigue en Edición->Preferencias->Avanzadas->Red.
</note>
<p>
@@ -1106,7 +1120,7 @@
regla de forwarding/prerouting en la pasarela:
</p>
-<pre caption="Activa el portforwarding hacia nuestro servidor proxy">
+<pre caption="Activa el reenvío de puertos hacia nuestro servidor proxy">
# <i>iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to
proxyhost:3128</i>
# <i>iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to
proxyhost:3128</i>
</pre>
@@ -1118,6 +1132,7 @@
<c>REDIRECT</c> en lugar de <c>DNAT</c> (<c>REDIRECT</c> dirige los
paquetes al localhost).
</note>
+
</body>
</section>
@@ -1154,9 +1169,10 @@
</ol>
<p>
-Entonces si <e>realmente</e> necesita usted un cortafuegos, cree uno
+Entonces si <e>realmente</e> necesita un cortafuegos, cree uno
que satisfaga sus necesidades.
</p>
+
</body>
</section>
</sections>
1.7 xml/htdocs/doc/es/security/shb-intrusion.xml
file :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-intrusion.xml?rev=1.7&view=markup
plain:
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-intrusion.xml?rev=1.7&content-type=text/plain
diff :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-intrusion.xml?r1=1.6&r2=1.7
Index: shb-intrusion.xml
===================================================================
RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-intrusion.xml,v
retrieving revision 1.6
retrieving revision 1.7
diff -u -r1.6 -r1.7
--- shb-intrusion.xml 11 Apr 2014 18:55:41 -0000 1.6
+++ shb-intrusion.xml 8 Aug 2014 15:16:44 -0000 1.7
@@ -1,5 +1,5 @@
<?xml version='1.0' encoding='UTF-8'?>
-<!-- $Header:
/var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-intrusion.xml,v 1.6
2014/04/11 18:55:41 nimiux Exp $ -->
+<!-- $Header:
/var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-intrusion.xml,v 1.7
2014/08/08 15:16:44 nimiux Exp $ -->
<!DOCTYPE sections SYSTEM "/dtd/book.dtd">
<!-- The content of this document is licensed under the CC-BY-SA license -->
@@ -81,7 +81,7 @@
</table>
<p>
-Esas macros se convierten en algo muy práctico si usted tiene más de
+Esas macros se convierten en algo muy práctico si tiene más de
un sistema Gentoo y quiere usar AIDE en todos ellos, pero no todas las
máquinas ejecutan los mismos servicios o incluso tienen los mismos
usuarios.
@@ -216,7 +216,7 @@
es ver cómo añadir una regla a un fichero o directorio. para
introducir una regla, combine el nombre de fichero o directorio y la
regla. AIDE añadirá todos los archivos recursivamente a no ser que
-usted especifique alguna regla alternativa.
+especifique alguna regla alternativa.
</p>
<table>
@@ -332,6 +332,7 @@
Puede encontrar más información en la página del proyecto <uri
link="http://www.cs.tut.fi/~rammer/aide.html";>AIDE</uri>.
</p>
+
</body>
</section>
@@ -372,6 +373,7 @@
<p>
Más información en el sitio web de <uri
link="http://www.snort.org";>Snort</uri>.
</p>
+
</body>
</section>
@@ -394,15 +396,16 @@
<p>
La mejor manera para emplear <c>chkrootkit</c> como detección de
-intrusos es ejecutarlo rutinariamente desde <c>cron</c>. Para empezar,
-instale <path>app-forensics/chkrootkit</path>. <c>chkrootkit</c> puede
-ejecutarse desde la línea de comandos con el comando homónimo,
-o desde <c>cron</c> con un línea como ésta:
+intrusos es ejecutarlo de forma rutinaria desde <c>cron</c>. Para
+empezar, instale <path>app-forensics/chkrootkit</path>.
+<c>chkrootkit</c> puede ejecutarse desde la línea de comandos
+con la orden homónimo, o desde <c>cron</c> con un línea como ésta:
</p>
<pre caption="Programar chkrootkit como un cronjob">
0 3 * * * /usr/sbin/chkrootkit
</pre>
+
</body>
</section>
</sections>
1.5 xml/htdocs/doc/es/security/shb-kernel.xml
file :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-kernel.xml?rev=1.5&view=markup
plain:
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-kernel.xml?rev=1.5&content-type=text/plain
diff :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-kernel.xml?r1=1.4&r2=1.5
Index: shb-kernel.xml
===================================================================
RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-kernel.xml,v
retrieving revision 1.4
retrieving revision 1.5
diff -u -r1.4 -r1.5
--- shb-kernel.xml 17 Dec 2013 11:47:48 -0000 1.4
+++ shb-kernel.xml 8 Aug 2014 15:16:44 -0000 1.5
@@ -1,5 +1,5 @@
<?xml version='1.0' encoding='UTF-8'?>
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-kernel.xml,v
1.4 2013/12/17 11:47:48 nimiux Exp $ -->
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-kernel.xml,v
1.5 2014/08/08 15:16:44 nimiux Exp $ -->
<!DOCTYPE sections SYSTEM "/dtd/book.dtd">
<!-- The content of this document is licensed under the CC-BY-SA license -->
@@ -28,6 +28,7 @@
normales instalar "root kits" sin poder hacerlo a través de
módulos del núcleo.
</p>
+
</body>
</section>
@@ -177,6 +178,7 @@
<comment>(Automático en sysctl.conf:)</comment>
net.ipv4.ip_forward = 0
</pre>
+
</body>
</section>
@@ -200,6 +202,7 @@
mejorado, por favor consulte la documentación disponible en
<uri link="http://www.grsecurity.net/";>Grsecurity home page</uri>.
</p>
+
</body>
</section>
@@ -208,22 +211,31 @@
<body>
<ul>
-<li><uri link="http://www.openwall.com";>El proyecto OpenWall</uri></li>
-<li>
- <uri link="http://www.lids.org";>Sistema de detección de intrusos en
Linux</uri>
-</li>
-<li>
- <uri link="http://www.rsbac.org";>Conjunto de reglas de control de
acceso</uri>
-</li>
-<li>
- <uri link="http://www.nsa.gov/selinux";>Mejoras de seguridad en el núcleo de
la NSA</uri> (agencia de seguridad estadounidense)
-</li>
-<li><uri link="http://sourceforge.net/projects/wolk/";>Wolk</uri></li>
+ <li>
+ <uri link="http://www.openwall.com";>El proyecto OpenWall</uri>
+ </li>
+ <li>
+ <uri link="http://www.lids.org";>
+ Sistema de detección de intrusos en Linux</uri>
+ </li>
+ <li>
+ <uri link="http://www.rsbac.org";>
+ Conjunto de reglas de control de acceso</uri>
+ </li>
+ <li>
+ <uri link="http://www.nsa.gov/selinux";>
+ Mejoras de seguridad en el núcleo de la NSA</uri>
+ (agencia de seguridad estadounidense)
+ </li>
+ <li>
+ <uri link="http://sourceforge.net/projects/wolk/";>Wolk</uri>
+ </li>
</ul>
<p>
Y probablemente haya bastantes más.
</p>
+
</body>
</section>
</sections>
1.9 xml/htdocs/doc/es/security/shb-limits.xml
file :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-limits.xml?rev=1.9&view=markup
plain:
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-limits.xml?rev=1.9&content-type=text/plain
diff :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-limits.xml?r1=1.8&r2=1.9
Index: shb-limits.xml
===================================================================
RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-limits.xml,v
retrieving revision 1.8
retrieving revision 1.9
diff -u -r1.8 -r1.9
--- shb-limits.xml 19 Nov 2011 23:07:44 -0000 1.8
+++ shb-limits.xml 8 Aug 2014 15:16:44 -0000 1.9
@@ -1,5 +1,5 @@
<?xml version='1.0' encoding='UTF-8'?>
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-limits.xml,v
1.8 2011/11/19 23:07:44 nimiux Exp $ -->
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-limits.xml,v
1.9 2014/08/08 15:16:44 nimiux Exp $ -->
<!DOCTYPE sections SYSTEM "/dtd/book.dtd">
<!-- The content of this document is licensed under the CC-BY-SA license -->
@@ -46,6 +46,7 @@
<path>/etc/security/limits.conf</path> forma parte del paquete PAM y
será solo aplicable a paquetes que utilicen PAM.
</note>
+
</body>
</section>
@@ -71,6 +72,7 @@
sys-apps/shadow. No es necesario configurar ningún límite en este
archivo si se ha habilitado <c>pam</c> en <path>make.conf</path>.
</p>
+
</body>
</section>
@@ -139,7 +141,7 @@
boot. Puede haber otros sistemas de ficheros no listados en este
documento con un comportamiento similar, así que es recomendable que
lea las páginas de man de su sistema de ficheros para ver cómo maneja
-las comprobaciones de cutoa.
+las comprobaciones de cuota.
</impo>
<pre caption="Añadir cuotas al nivel de ejecución boot">
@@ -173,6 +175,7 @@
Para más detalles lea <c>man edquota</c> o el
<uri link="http://www.tldp.org/HOWTO/Quota.html";>Quota mini howto</uri>.
</p>
+
</body>
</section>
@@ -181,13 +184,14 @@
<body>
<p>
-Si las políticas de seguridad indican que los usuarios deben cambiar
+Si las directrices de seguridad indican que los usuarios deben cambiar
su contraseña cada dos semanas, cambie el valor <c>PASS_MAX_DAYS</c> a
14 y <c>PASS_WARN_AGE</c> a 7. Es recomendable que use la caducidad de
contraseñas puesto que los ataques por fuerza bruta permiten encontrar
cualquier contraseña, es solo cuestión de tiempo. También le alentamos
a que establezca <c>LOG_OK_LOGINS</c> a sí.
</p>
+
</body>
</section>
@@ -198,13 +202,13 @@
<p>
El fichero <path>access.conf</path> también pertenece al paquete
<c>sys-libs/pam</c>, que proporciona una tabla de control de acceso
-por login. La tabla se usa para controlar quien puede y quien no puede
-acceder basándose en el nombre de usuario, nombre de grupo o nombre de
-host. Por defecto, todos los usuarios del sistema tienen permitido
-hacer login por lo que el fichero consiste solo en comentarios y
-ejemplos. Si está asegurando su servidor o estación de trabajo, le
-recomendamos que configure este fichero para que nadie más que el
-administrador del sistema tenga acceso a la consola.
+por cada ingreso en el sistema. La tabla se usa para controlar quien
+puede y quien no puede acceder basándose en el nombre de usuario,
+nombre de grupo o nombre de host. Por defecto, todos los usuarios del
+sistema tienen permitido acceder por lo que el fichero consiste solo
+en comentarios y ejemplos. Si está asegurando su servidor o estación
+de trabajo, le recomendamos que configure este fichero para que nadie
+más que el administrador del sistema tenga acceso a la consola.
</p>
<note>
@@ -233,6 +237,7 @@
el dominio gentoo.org. Puede que sea paranoico, pero mejor prevenir
que curar.
</p>
+
</body>
</section>
</sections>
1.7 xml/htdocs/doc/es/security/shb-logging.xml
file :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-logging.xml?rev=1.7&view=markup
plain:
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-logging.xml?rev=1.7&content-type=text/plain
diff :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-logging.xml?r1=1.6&r2=1.7
Index: shb-logging.xml
===================================================================
RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-logging.xml,v
retrieving revision 1.6
retrieving revision 1.7
diff -u -r1.6 -r1.7
--- shb-logging.xml 15 Aug 2011 12:30:03 -0000 1.6
+++ shb-logging.xml 8 Aug 2014 15:16:44 -0000 1.7
@@ -1,5 +1,5 @@
<?xml version='1.0' encoding='UTF-8'?>
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-logging.xml,v
1.6 2011/08/15 12:30:03 nimiux Exp $ -->
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-logging.xml,v
1.7 2014/08/08 15:16:44 nimiux Exp $ -->
<!DOCTYPE sections SYSTEM "/dtd/book.dtd">
<!-- The content of this document is licensed under the CC-BY-SA license -->
@@ -26,6 +26,7 @@
elegir durante la instalación entre tres tipos diferentes de gestores
de registro.
</p>
+
</body>
</section>
@@ -47,7 +48,7 @@
A continuación se encuentra el <path>syslog.conf</path> estándar con
algunas características añadidas. Hemos "descomentado" las
líneas <c>cron</c> y <c>tty</c> y añadido un gestor de registro
-remoto. Para mejorar la seguridad usted puede almacenar los registros
+remoto. Para mejorar la seguridad puede almacenar los registros
en dos lugares.
</p>
@@ -76,7 +77,7 @@
#
# Registro para el sistema de correo. Divídalo porque
-# es fácil escribir guiones para manejar estos ficheros.
+# es fácil escribir guiones para manejar estos ficheros.
#
mail.info -/var/log/mail.info
mail.warn -/var/log/mail.warn
@@ -107,7 +108,7 @@
*.=alert *
#
-# Me gusta que los mensajes se muestren en la consola, pero sólo en una
+# Me gusta que los mensajes se muestren en la consola, pero solo en una
# consola virtual que normalmente dejo disponible.
#
daemon,mail.*;\
@@ -120,10 +121,10 @@
# La 'named pipe' /dev/xconsole es para la utilidad 'xconsole'. Para usarla,
# debe llamar 'xconsole' con la opción '-file':
-#
+#
# $ xconsole -file /dev/xconsole [...]
#
-# NOTA: ajuste la siguiente lista, o podría volverse loco si tiene
+# NOTA: ajuste la siguiente lista, o podría volverse loco si tiene
# un sitio medianamente ocupado...
#
#daemon.*,mail.*;\
@@ -136,10 +137,11 @@
<p>
Los atacantes intentarán borrar sus huellas editando o borrando los
-ficheros de registro. Usted puede dificultarles la tarea enviando los
+ficheros de registro. Puede dificultarles la tarea enviando los
registros a más de un servidor remoto en máquinas distintas. Encuentre
más información sobre syslogd ejecutando <c>man syslog</c>.
</p>
+
</body>
</section>
@@ -180,13 +182,13 @@
<pre caption="/usr/local/sbin/mail_pwd_failures.sh para netqmail">
#!/bin/sh
echo "To: root
-Subject:Failure (Warning: $2)
+Subject:Failure (Warning: $2)
$3
" | /var/qmail/bin/qmail-inject -f root
</pre>
<p>
-Recuerde hacer ejecutable el script con <c>/bin/chmod +x
+Recuerde hacer ejecutable el guión con <c>/bin/chmod +x
/usr/local/sbin/mail_pwd_failures.sh</c>.
</p>
@@ -199,6 +201,7 @@
<pre caption="/etc/metalog/metalog.conf">
command = "/usr/local/sbin/mail_pwd_failures.sh"
</pre>
+
</body>
</section>
@@ -225,10 +228,10 @@
options {
chain_hostnames(no);
- <comment># la acción predeterminada de syslog-ng es registrar
- # una línea STATS al archivo cada 10 minutos. Eso se pone feo
- # luego de un rato. Cámbielo a cada 12 horas para obtener una
- # actualización diaria de los mensajes perdidos por syslog-ng
+ <comment># la acción predeterminada de syslog-ng es registrar
+ # una línea STATS al archivo cada 10 minutos. Eso se pone feo
+ # luego de un rato. Cámbielo a cada 12 horas para obtener una
+ # actualización diaria de los mensajes perdidos por syslog-ng
# (0).</comment>
stats_freq(43200);
};
@@ -265,8 +268,8 @@
<comment># los mensajes se registran en el tty12 ...</comment>
destination console_all { file("/dev/tty12"); };
-<comment># ... si tiene intención de usar /dev/console para programas
-# como like xconsole puede comentar el destino definido arriba que hace
+<comment># ... si tiene intención de usar /dev/console para programas
+# como like xconsole puede comentar el destino definido arriba que hace
# referencia a /dev/tty12 y descomentar la siguiente línea.</comment>
#destination console_all { file("/dev/console"); };
@@ -280,8 +283,8 @@
filter f_mail { facility(mail); };
filter f_user { facility(user); };
filter f_debug { not facility(auth, authpriv, news, mail); };
-filter f_messages { level(info..warn)
- and not facility(auth, authpriv, mail, news); };
+filter f_messages { level(info..warn)
+ and not facility(auth, authpriv, mail, news); };
filter f_emergency { level(emerg); };
filter f_info { level(info); };
@@ -317,7 +320,7 @@
syslog-ng es muy sencillo de configurar, pero también es muy fácil
olvidar algo en el archivo de configuración, ya que es extenso. El
autor promete algunas características extra como cifrado,
-autentificación, compresión y control MAC (Mandatory Access
+autenticación, compresión y control MAC (Mandatory Access
Control). Con esas opciones se convertirá en el gestor de registro de
red perfecto, ya que el atacante no podrá espiar en el registro.
</p>
@@ -325,6 +328,7 @@
<p>
Y syslog-ng tiene otras ventajas: ¡no necesita ejecutarse como root!
</p>
+
</body>
</section>
@@ -333,7 +337,7 @@
<body>
<p>
-Desde luego, mantener los registros sólo es la mitad del trabajo. Un
+Desde luego, mantener los registros solo es la mitad del trabajo. Un
programa como Logcheck puede hacer mucho más fácil el análisis regular
de los registros. Logcheck es un guión ("script"),
acompañado de un binario llamado <c>logtail</c>, que se ejecuta desde
@@ -366,7 +370,8 @@
Todos los compromisos de seguridad serían ignorados.
</warn>
<!-- FIXME: Might want to add more details on logcheck here...I have to install
- it on Gentoo to figure out how it's configured! -->
+ it on Gentoo to figure out how it's configured! -->
+
</body>
</section>
</sections>
1.5 xml/htdocs/doc/es/security/shb-mounting.xml
file :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-mounting.xml?rev=1.5&view=markup
plain:
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-mounting.xml?rev=1.5&content-type=text/plain
diff :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-mounting.xml?r1=1.4&r2=1.5
Index: shb-mounting.xml
===================================================================
RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-mounting.xml,v
retrieving revision 1.4
retrieving revision 1.5
diff -u -r1.4 -r1.5
--- shb-mounting.xml 31 Mar 2012 22:13:57 -0000 1.4
+++ shb-mounting.xml 8 Aug 2014 15:16:44 -0000 1.5
@@ -1,5 +1,5 @@
<?xml version='1.0' encoding='UTF-8'?>
-<!-- $Header:
/var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-mounting.xml,v 1.4
2012/03/31 22:13:57 nimiux Exp $ -->
+<!-- $Header:
/var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-mounting.xml,v 1.5
2014/08/08 15:16:44 nimiux Exp $ -->
<!DOCTYPE sections SYSTEM "/dtd/book.dtd">
<!-- The content of this document is licensed under the CC-BY-SA license -->
@@ -68,7 +68,7 @@
<c>nosuid</c>, incluso si nunca se ejecutan ficheros desde este punto
de montaje. La razón de esto es que netqmail se instala en
<path>/var/qmail</path> y debe tener permitido ejecutar y acceder a un
-fichero SUID. Yo establezco <path>/usr</path> en modo de sólo lectura
+fichero SUID. Yo establezco <path>/usr</path> en modo de solo lectura
ya que nunca escribo nada en él excepto cuando quiero actualizar
Gentoo. Entonces vuelvo a montar el sistema de ficheros en modo de
lectura-escritura, actualizo y lo vuelvo a montar nuevamente.
@@ -81,6 +81,7 @@
alternativa si insiste en tener <path>/var</path> montado en modo
<c>noexec</c>.
</note>
+
</body>
</section>
</sections>
1.3 xml/htdocs/doc/es/security/shb-perms.xml
file :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-perms.xml?rev=1.3&view=markup
plain:
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-perms.xml?rev=1.3&content-type=text/plain
diff :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-perms.xml?r1=1.2&r2=1.3
Index: shb-perms.xml
===================================================================
RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-perms.xml,v
retrieving revision 1.2
retrieving revision 1.3
diff -u -r1.2 -r1.3
--- shb-perms.xml 19 Oct 2006 15:39:38 -0000 1.2
+++ shb-perms.xml 8 Aug 2014 15:16:44 -0000 1.3
@@ -1,5 +1,5 @@
<?xml version='1.0' encoding='UTF-8'?>
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-perms.xml,v
1.2 2006/10/19 15:39:38 yoswink Exp $ -->
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-perms.xml,v
1.3 2014/08/08 15:16:44 nimiux Exp $ -->
<!DOCTYPE sections SYSTEM "/dtd/book.dtd">
<!-- The content of this document is licensed under the CC-BY-SA license -->
@@ -19,10 +19,11 @@
configuración o contraseñas. Un atacante puede robar contraseñas de
bases de datos o sitios web y usarlos para alterar --o incluso peor,
borrar-- datos. Por esto es importante que los permisos de ficheros
-sean correctos. Si usted está seguro que un archivo sólo es usado por
+sean correctos. Si está seguro que un archivo solo es usado por
root, asígnele los permisos <c>0600</c> y asigne el usuario correcto
al fichero con <c>chown</c>.
</p>
+
</body>
</section>
@@ -41,7 +42,9 @@
todos. Verifique los permisos y elimine los permisos de escritura para
todos ejecutando <c>/bin/chmod o-w</c> en cada fichero.
</p>
+
</body>
+
</section>
<section>
@@ -55,7 +58,7 @@
necesitan ejecutarse como root para hacer su labor. Esos archivos
pueden provocar un compromiso de root (si contienen agujeros de
seguridad). Los ficheros con el bit SUID o SGID activado resultan
-peligrosos y deberían ser evitados a toda costa. Si usted no usa
+peligrosos y deberían ser evitados a toda costa. Si no usa
estos ficheros utilice en ellos <c>chmod 0</c> o desinstale (unmerge)
el paquete de donde provienen (verifique a qué paquete pertenecen
usando <c>equery</c>; si todavía no lo tiene instalado simplemente
@@ -97,23 +100,23 @@
<p>
Por defecto, Gentoo Linux no tiene muchos ficheros SUID (aunque
-depende de lo que haya instalado), pero usted debería obtener una
-lista similar a la anterior. Muchos de los comandos no deben ser
-utilizados por los usuarios normales, sólo por root. Desactive el bit
+depende de lo que haya instalado), pero debería obtener una
+lista similar a la anterior. Muchas de las órdenes no se deben
+utilizar por los usuarios normales, solo por root. Desactive el bit
SUID en <c>ping</c>, <c>mount</c>, <c>umount</c>, <c>chfn</c>,
<c>chsh</c>, <c>newgrp</c>, <c>suidperl</c>, <c>pt_chown</c> y
<c>traceroute</c> usando <c>chmod -s</c> en cada fichero. No desactive
el bit en <c>su</c>, <c>qmail-queue</c> o
<c>unix_chkpwd</c>. Desactivar setuid de estos ficheros le impedirá
hacer 'su' y recibir correo. Desactivando el bit (donde es seguro
-hacerlo) usted elimina la posibilidad de que un usuario normal (o un
+hacerlo) se elimina la posibilidad de que un usuario normal (o un
atacante) consiga acceso de root a través de estos archivos.
</p>
<p>
-Los únicos ficheros SUID que tengo en mi sistema són <c>su</c>,
+Los únicos ficheros SUID que tengo en mi sistema son <c>su</c>,
<c>passwd</c>, <c>gpasswd</c>, <c>qmail-queue</c>, <c>unix_chkpwd</c>
-y <c>pwdb_chkpwd</c>. Pero si usted está ejecutando X, necesita tener
+y <c>pwdb_chkpwd</c>. Pero si está ejecutando X, necesita tener
alguno más, puesto que X necesita el privilegiado acceso proporcionado
por SUID.
</p>
@@ -126,11 +129,11 @@
<body>
<p>
-Sólo se considera borrado un fichero cuando no tiene más enlaces apuntándole.
+Solo se considera borrado un fichero cuando no tiene más enlaces apuntándole.
Esto podría sonar un poco raro, pero tenga en cuenta que un nombre de fichero
como <path>/usr/bin/perl</path> es actualmente un enlace a el inodo donde los
datos están almacenados. Cualquier número de enlaces puede apuntar al fichero,
-y sólo hasta el último de ellos no desaparezca, el fichero continua existiendo.
+y solo hasta el último de ellos no desaparezca, el fichero continua existiendo.
</p>
<p>
@@ -149,21 +152,21 @@
ficheros SUID/SGID, deberá leer esta sección cuidadosamente. Uno de sus
usuarios podría intentar burlar una actualización manteniendo una versión
antigua de un programa. Si sus usuarios no crean sus propios ficheros SUID, o
-sólo pueden ejecutar programas mediante el cargador dinámico (particiones
+solo pueden ejecutar programas mediante el cargador dinámico (particiones
montadas como <c>noexec</c>), no tiene por qué preocuparse.
</warn>
<note>
-Los usuarios no necesitan acceso de lectura a un fichero para enlazarlo, sólo
+Los usuarios no necesitan acceso de lectura a un fichero para enlazarlo, solo
necesitan permiso de lectura al directorio que lo contiene.
</note>
<p>
-Para comprobar cuantos enlaces a ficheros tiene, puede usar el comando
+Para comprobar cuantos enlaces a ficheros tiene, puede usar la orden
<c>stat</c>.
</p>
-<pre caption="Comando stat" >
+<pre caption="Orden stat" >
$ stat /bin/su
File: `/bin/su'
Size: 29350 Blocks: 64 IO Block: 131072 regular file
@@ -182,6 +185,7 @@
<pre caption="Buscar binarios suid/sgid multi-enlazados" >
$ find / -type f \( -perm -004000 -o -perm -002000 \) -links +1 -ls
</pre>
+
</body>
</section>
</sections>
1.2 xml/htdocs/doc/es/security/shb-pre.xml
file :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-pre.xml?rev=1.2&view=markup
plain:
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-pre.xml?rev=1.2&content-type=text/plain
diff :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-pre.xml?r1=1.1&r2=1.2
Index: shb-pre.xml
===================================================================
RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-pre.xml,v
retrieving revision 1.1
retrieving revision 1.2
diff -u -r1.1 -r1.2
--- shb-pre.xml 9 Jun 2005 13:43:38 -0000 1.1
+++ shb-pre.xml 8 Aug 2014 15:16:44 -0000 1.2
@@ -1,5 +1,5 @@
<?xml version='1.0' encoding='UTF-8'?>
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-pre.xml,v 1.1
2005/06/09 13:43:38 chiguire Exp $ -->
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-pre.xml,v 1.2
2014/08/08 15:16:44 nimiux Exp $ -->
<!DOCTYPE sections SYSTEM "/dtd/book.dtd">
<!-- The content of this document is licensed under the CC-BY-SA license -->
@@ -27,10 +27,14 @@
burlando fácilmente sus permisos y restricciones de acceso, configure
en la BIOS el disco duro como primer dispositivo de arranque y ponga
una contraseña de acceso a la BIOS. También es importante establecer
-una contraseña de aranque para LILO o GRUB, y así prevenir que
+una contraseña de arranque para LILO o GRUB, y así prevenir que
usuarios maliciosos arranquen en modo monousuario y consigan acceso
-total al sistema. Esto está más detallado en el Capítulo 3, en <uri
link="?part=1&chap=2#passwording_GRUB">Contraseña para GRUB</uri> y <uri
link="?part=1&chap=2#passwording_LILO">Contraseña para LILO</uri>.
+total al sistema. Esto está más detallado en el Capítulo 3, en
+<uri link="?part=1&chap=2#passwording_GRUB">Contraseña para
+GRUB</uri> y <uri link="?part=1&chap=2#passwording_LILO">
+Contraseña para LILO</uri>.
</p>
+
</body>
</section>
@@ -54,6 +58,7 @@
mucho más sencillo mantenerlo todo actualizado si alguien descubre una
vulnerabilidad remota en alguno de sus servicios.
</p>
+
</body>
</section>
@@ -77,19 +82,21 @@
<li>
Cualquier árbol de directorios donde quiera instalar software que
no forme parte de la distribución debería estar en una partición
-separada. Conforme a la <uri link="http://www.pathname.com/fhs/";>Jerarquía
estándar de ficheros</uri> estos directorios serían
+separada. Conforme a la <uri link="http://www.pathname.com/fhs/";>
+Jerarquía estándar de ficheros</uri> estos directorios serían
<path>/opt</path> o <path>/usr/local</path>. Si ambos están en
particiones separadas no haría falta borrarlos si tiene que reinstalar
el sistema.
</li>
<li>
Para mayor seguridad, los datos estáticos pueden ponerse en una
-partición separada y montada en modo de sólo lectura
+partición separada y montada en modo de solo lectura
("read-only"). El paranoico de verdad puede intentar
-almacenar los datos estáticos en un medio de sólo lectura, como un
+almacenar los datos estáticos en un medio de solo lectura, como un
CD-ROM.
</li>
</ul>
+
</body>
</section>
@@ -112,12 +119,12 @@
<li>
Cree siempre un usuario para la gestión diaria y si este usuario
necesita tener acceso de root, añádalo al grupo 'wheel'. Esto
-posibilita que un usuario normal pueda cambiar su ID a root usando el
-comando <c>su</c>.
+posibilita que un usuario normal pueda cambiar su ID a root usando
+la orden <c>su</c>.
</li>
<li>
Nunca ejecute X u otro software de aplicación como root, root debe
-usarse sólo cuando sea absolutamente necesario; si existe una
+usarse solo cuando sea absolutamente necesario; si existe una
vulnerabilidad en una aplicación ejecutándose como usuario, el
atacante consigue el nivel de acceso del usuario. Pero si esta
aplicación se ejecuta como root, el atacate consigue acceso de root.
@@ -125,15 +132,15 @@
<li>
Use siempre rutas absolutas cuando se conecte como root (o use siempre
<c>su -</c>, que reemplaza las variables de entorno del usuario con
-las de root, estando seguro que el <c>PATH</c> de root sólo contiene
+las de root, estando seguro que el <c>PATH</c> de root solo contiene
directorios protegidos como <path>/bin</path> y
<path>/sbin</path>). Es posible engañar a root para que ejecute una
aplicación distinta de aquella que pretendía ejecutar. Si el
-<c>PATH</c> de root está protegido o root sólo usa rutas absolutas,
+<c>PATH</c> de root está protegido o root solo usa rutas absolutas,
podemos estar seguros de que esto no sucede.
</li>
<li>
-Si un usuario sólo necesita ejecutar algunos comandos, en lugar de
+Si un usuario solo necesita ejecutar algunas órdenes, en lugar de
todo lo que root puede hacer normalmente, considere usar <c>sudo</c>
en su lugar. Pero, al final, ¡tenga cuidado a quién le da este acceso!
</li>
@@ -148,35 +155,36 @@
defecto de PAM establece que un usuario debe pertenecer al grupo
"wheel" para poder ser capaz de usar <c>su</c>.
</p>
+
</body>
</section>
<section id="security_policies">
-<title>Políticas de seguridad</title>
+<title>Directrices de seguridad</title>
<body>
<p>
-Hay ciertas razones para diseñar un política de seguridad para su(s)
+Hay ciertas razones para diseñar un directriz de seguridad para su(s)
sistema(s) y red.
</p>
<ul>
<li>
-Una buena política de seguridad le permite perfilar la seguridad como
+Una buena directriz de seguridad le permite perfilar la seguridad como
un "sistema", antes que simplemente como un revoltijo de
-distintas características. Por ejemplo, sin una política un
+distintas características. Por ejemplo, sin una directriz un
administrador puede decidir desconectar el telnet, porque transmite
las contraseñas sin cifrar, pero puede dejar el acceso FTP, que tiene
-el mismo problema. Una buena política de seguridad le permite
+el mismo problema. Una buena directriz de seguridad le permite
identificar qué medidas de seguridad merecen la pena, y cuáles no.
</li>
<li>
Para diagnosticar problemas, realizar auditorías o localizar intrusos,
puede ser necesario interceptar el tráfico de la red, inspeccionar el
-acceso de los usuarios y su historial de ejecución de comandos, y
+acceso de los usuarios y su historial de ejecución de órdenes, y
mirar en sus directorios locales. Sin especificar esto por escrito y
sin advertirlo a los usuarios, tales acciones pueden ser actualmente
-ilegales, y ponerle a <e>usted</e> en un compromiso legal.
+ilegales, y <e>ponerle</e> en un compromiso legal.
</li>
<li>
Uno de los escenarios más comunes en la seguridad del sistema son las
@@ -198,33 +206,33 @@
</ul>
<p>
-La necesidad de una buena política de seguridad debería estar ahora
+La necesidad de una buena directriz de seguridad debería estar ahora
más que clara.
</p>
<p>
-La "política" o "directiva" por sí misma es un
+La "directriz" o "directiva" por sí misma es un
documento, o un conjunto de documentos, que perfilan las
características de la red y los sistemas (como los servicios que
proporcionan), el uso permitido y prohibido, los "buenos
hábitos" de seguridad, y así sucesivamente. Todos los usuarios
-deben ser concienciados de su política de seguridad, además de
+deben ser concienciados de su directriz de seguridad, además de
mantenerlos al corriente de los cambios que se introduzcan. Es
importante tomarse el tiempo necesario para ayudar a los usuarios a
-comprender la política y por qué las políticas deben ser firmadas, o
+comprender la directriz y por qué las directrices se deben firmar, o
qué sucedería si ellos actúan en contra de las mismas (lo que también
-debe recogerse en las políticas). Esto debería hacerse por lo menos
-una vez al año pues las políticas pueden cambiar (pero también como un
+debe recogerse en las directrices). Esto debería hacerse por lo menos
+una vez al año pues las directrices pueden cambiar (pero también como un
simple recordatorio para el usuario).
</p>
<note>
-Se deben crear políticas fáciles de leer y que sean muy precisas en
+Se deben crear directrices fáciles de leer y que sean muy precisas en
cada apartado.
</note>
<p>
-Una política de seguridad debería contener, al menos, los siguientes
+Una directriz de seguridad debería contener, al menos, los siguientes
apartados:
</p>
@@ -257,26 +265,29 @@
<p>
Usuarios distintos pueden requerir distintos niveles o tipos de
-acceso, y como tal, su política puede variar para acomodarse a todos
+acceso, y como tal, su directriz puede variar para acomodarse a todos
ellos.
</p>
<p>
-Las políticas de seguridad pueden convertirse en algo enorme, y
+Las directrices de seguridad pueden convertirse en algo enorme, y
resultar ser información vital que puede fácilmente olvidarse. Las
-políticas para el equipo de TI pueden contener información
+directrices para el equipo de TI pueden contener información
confidencial para el usuario normal, por esto se pueden separar en
-políticas más pequeñas, como por ejemplo, Política de uso aceptable,
-Política de contraseñas, Política de correo electrónico y acceso
+directrices más pequeñas, como por ejemplo, Directriz de uso aceptable,
+PDirectriz de contraseñas, PDirectriz de correo electrónico y acceso
remoto.
</p>
<p>
-Puede encontrar ejemplos de políticas en <uri
link="http://www.sans.org/resources/policies/";>The SANS Security
+Puede encontrar ejemplos de directrices en <uri
+link="http://www.sans.org/resources/policies/";>The SANS Security
Policy Project</uri>. Si tiene una red pequeña y las encuentra
-demasiado complejas para su realidad, puede mirar en <uri
link="ftp://ftp.isi.edu/in-notes/rfc2196.txt";>Site
-Security Handbook</uri>.
+demasiado complejas para su realidad, puede mirar en <uri
+link="ftp://ftp.isi.edu/in-notes/rfc2196.txt";>Site Security
+Handbook</uri>.
</p>
+
</body>
</section>
</sections>
1.8 xml/htdocs/doc/es/security/shb-services.xml
file :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-services.xml?rev=1.8&view=markup
plain:
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-services.xml?rev=1.8&content-type=text/plain
diff :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-services.xml?r1=1.7&r2=1.8
Index: shb-services.xml
===================================================================
RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-services.xml,v
retrieving revision 1.7
retrieving revision 1.8
diff -u -r1.7 -r1.8
--- shb-services.xml 13 Aug 2008 20:34:07 -0000 1.7
+++ shb-services.xml 8 Aug 2014 15:16:44 -0000 1.8
@@ -1,5 +1,5 @@
<?xml version='1.0' encoding='UTF-8'?>
-<!-- $Header:
/var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-services.xml,v 1.7
2008/08/13 20:34:07 chiguire Exp $ -->
+<!-- $Header:
/var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-services.xml,v 1.8
2014/08/08 15:16:44 nimiux Exp $ -->
<!DOCTYPE sections SYSTEM "/dtd/book.dtd">
<!-- The content of this document is licensed under the CC-BY-SA license -->
@@ -23,7 +23,7 @@
</p>
<p>
-Si usted no deshabilita <c>ssl</c> en su <path>/etc/make.conf</path>
+Si no deshabilita <c>ssl</c> en su <path>/etc/make.conf</path>
antes de instalar Apache, debería tener habilitado el acceso al
servidor mediante ssl. Dentro de <path>/etc/apache2/vhosts.d</path>
podemos encontrar archivos con ejemplos de configuración. Estos son
@@ -31,7 +31,7 @@
</p>
<p>
-Es importante definir en el archivo de configuració que se escuche a
+Es importante definir en el archivo de configuración que se escuche a
una dirección IP en particular (en vez de todas las direcciones IP de
su sistema). Por ejemplo, en el archivo
<path>00_default_vhost.conf</path>:
@@ -67,6 +67,7 @@
<p>
Puede encontrar más información en <uri>http://www.apache.org</uri>.
</p>
+
</body>
</section>
@@ -89,10 +90,11 @@
<pre caption="Chrooting BIND">
# <i>emerge --config bind</i>
-<comment>(Antes de ejecutar el comando anterior debe tratar de
cambiar)</comment>
+<comment>(Antes de ejecutar la orden anterior debe tratar de cambiar)</comment>
<comment>(el directorio de chroot en /etc/conf.d/named.)</comment>
<comment>(En caso contrario será usado /chroot/dns.)</comment>
</pre>
+
</body>
</section>
<section>
@@ -121,6 +123,7 @@
debería utilizar en su lugar <c>sftp</c> o HTTP . Si no lo hace,
asegure tan bien como pueda sus servicios y prepárese.
</p>
+
</body>
</section>
@@ -129,7 +132,7 @@
<body>
<p>
-Si sólo necesita que las aplicaciones locales accedan a la base de
+Si solo necesita que las aplicaciones locales accedan a la base de
datos <c>mysql</c> "descomente" la siguiente línea en
<path>/etc/mysql/my.cnf</path>.
</p>
@@ -139,8 +142,8 @@
</pre>
<p>
-Luego, deshabilitemos el uso del comando LOAD DATA LOCAL INFILE.Lo que
-nos prevendrá contra la lectura no autorizada de ficheros
+Luego, deshabilitemos el uso de la orden LOAD DATA LOCAL INFILE.
+Lo que nos prevendrá contra la lectura no autorizada de ficheros
locales. Esto toma relevancia cuando se encuentran nuevas
vulnerabilidades de Inyección SQL en PHP.
</p>
@@ -163,16 +166,17 @@
</pre>
<warn>
-Tenga cuidado con lo anterior si usted previamente ya ha configurado
+Tenga cuidado con lo anterior si previamente ya ha configurado
cuentas de usuario.
</warn>
<note>
-Si ha cambiado las contraseñas desde la línea de introducción de comandos
+Si ha cambiado las contraseñas desde la línea de introducción de órdenes
de MySQL deberá borrar siempre <path>~/.mysql_history</path> y
-<path>/var/log/mysql/mysql.log</path> puesto que almacenan los comandos
-SQL ejecutados con las contraseñas en texto claro.
+<path>/var/log/mysql/mysql.log</path> puesto que almacenan las órdenes
+SQL ejecutadas con las contraseñas en texto claro.
</note>
+
</body>
</section>
@@ -227,6 +231,7 @@
<p>
Puede encontrar más documentación en <uri>http://www.proftpd.org</uri>.
</p>
+
</body>
</section>
@@ -262,13 +267,14 @@
</p>
<warn>
-¡<e>No</e> use las opciones <c>-w</c> or <c>-W</c>! Si usted quiere
+¡<e>No</e> use las opciones <c>-w</c> or <c>-W</c>! Si quiere
tener un sitio de warez, ¡no lea más esta guía!
</warn>
<p>
Puede encontrar más documentación en <uri>http://www.pureftpd.org</uri>.
</p>
+
</body>
</section>
@@ -287,7 +293,7 @@
anonymous_enable=NO
local_enable=YES
-#sólo escritura
+#solo escritura
write_enable=NO
#permite el registro de transacciones
@@ -309,6 +315,7 @@
Algunas veces es bueno tener un ftp anónimo (para compartir programas de
código abierto) y entonces vsftpd hace muy buen papel.
</p>
+
</body>
</section>
@@ -319,10 +326,11 @@
<p>
Netqmail está frecuentemente considerado como un servidor de correo muy
seguro. Está escrito pensando en la seguridad (y en la paranoia). Por
-defecto no permite el reenvío y no ha tenido un sólo agujero de
+defecto no permite el reenvío y no ha tenido un solo agujero de
seguridad desde 1996. ¡Simplemente instálelo con <c>emerge netqmail</c>
y configúrelo!
</p>
+
</body>
</section>
@@ -348,7 +356,7 @@
#Permite el tráfico desde 10.0.0.*
hosts allow = 10.0.0.
- #Habilita el modo de autentificación por usuario
+ #Habilita el modo de autenticación por usuario
#(no use el modo compartido)
security = user
@@ -376,9 +384,10 @@
<p>
Ahora reinicie el servidor y añada los usuarios que deban tener acceso
-a este servicio. Esto se hace mediante el comando
+a este servicio. Esto se hace mediante la orden
<path>/usr/bin/smbpasswd</path> con el parámetro -a.
</p>
+
</body>
</section>
@@ -388,7 +397,7 @@
<p>
La única seguridad que OpenSSH necesita es habilitar la
-autentificación fuerte basada en cifrado de clave pública. Demasiados
+autenticación fuerte basada en cifrado de clave pública. Demasiados
sitios (como <uri>http://www.sourceforge.net</uri>,
<uri>http://www.php.net</uri> y<uri>http://www.apache.org</uri>) han
sufrido accesos no autorizados debidos a filtraciones de contraseñas o
@@ -396,25 +405,25 @@
</p>
<pre caption="/etc/ssh/sshd_config">
-#Sólo habilitar la versión 2
+#Solo habilitar la versión 2
Protocol 2
#No permitir el acceso directo a root
PermitRootLogin no
-#Habilitar la autentificación de clave pública
+#Habilitar la autenticación de clave pública
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
-#Deshabilitar los ficheros .rhost y la autentificación normal con contraseña
+#Deshabilitar los ficheros .rhost y la autenticación normal con contraseña
HostbasedAuthentication no
PasswordAuthentication no
PermitEmptyPasswords no
-#Sólo los usuarios en los grupos wheel o admin pueden obtener acceso
+#Solo los usuarios en los grupos wheel o admin pueden obtener acceso
AllowGroups wheel admin
-#En dichos grupos sólo permite el acceso de los siguienes usuarios
+#En dichos grupos solo permite el acceso de los siguientes usuarios
#El @<nombre_de_dominio> es opcional, pero reemplaza la
#anterior directiva AllowHosts
AllowUsers k...@gentoo.org b...@gentoo.org
@@ -429,7 +438,7 @@
<p>
Verifique también que no tiene <c>UsePAM yes</c> en su fichero de
-configuración porque sobreescribe el mecanismo de autentificación de
+configuración porque sobreescribe el mecanismo de autenticación de
clave pública, o sino desactive <c>PasswordAuthentication</c> o
<c>ChallengeResponseAuthentication</c>. Más información acerca de
estas opciones puede encontrarse en la página man de
@@ -438,8 +447,7 @@
<p>
Ahora todo lo que sus usuarios tienen que hacer es crear una clave (en
-el ordenador desde el que se van a conectar) usando el comando
-siguiente:
+el ordenador desde el que se van a conectar) usando la siguiente orden:
</p>
<pre caption="Crea un par de claves DSA">
@@ -465,11 +473,12 @@
<p>
Esto añadirá dos archivos a su directorio <path>~/.ssh/</path>,
llamados <path>id_dsa</path> y <path>id_dsa.pub</path>. El archivo
-<path>id_dsa</path> es su clave privada y debe ser accesible sólo por
-usted. El otro fichero <path>id_dsa.pub</path> debe ser distribuido en
-cada servidor al cual tenga acceso. Añada la clave en el directorio
-home del usuario en <path>~/.ssh/authorized_keys</path> y el usuario
-debería ser capaz de hacer login:
+<path>id_dsa</path> es su clave privada y no debe ser accesible a
+otros usuarios. El otro fichero <path>id_dsa.pub</path> se debe
+distribuir en cada servidor al cual tenga acceso. Añada la clave
+en el directorio home del usuario en
+<path>~/.ssh/authorized_keys</path> y el usuario debería ser capaz
+de acceder al sistema:
</p>
<pre caption="Añadir el fichero id_dsa.pub al fichero authorized_keys">
@@ -490,6 +499,7 @@
<p>
Para más información visite la página web de <uri
link="http://www.openssh.org";>OpenSSH</uri>.
</p>
+
</body>
</section>
@@ -509,7 +519,7 @@
<p>
Como en todos los demás servicios es importante tener una buena
configuración por defecto. Pero desde el momento que <c>xinetd</c> se
-ejecuta como root y soporta protocolos que puede que usted no conozca
+ejecuta como root y soporta protocolos que puede que no conozca
como funcionan, le recomendamos que no lo utilice. Pero si a pesar de
todo lo quiere utilizar, aquí le explicamos como puede añadirle algo
de seguridad:
@@ -568,6 +578,7 @@
<p>
Para más información consulte <c>man 5 xinetd.conf</c>.
</p>
+
</body>
</section>
@@ -582,14 +593,14 @@
</p>
<impo>
-Si usted no necesita este servicio, ¡deshabilítelo!
+Si no necesita este servicio, ¡Deshabilítelo!
</impo>
<p>
-Pero si piensa usar su estación de trabajo como servidor X use el
-comando <c>/usr/X11R6/bin/xhost</c> con precaución. Este comando
+Pero si piensa usar su estación de trabajo como servidor X use la
+orden <c>/usr/X11R6/bin/xhost</c> con precaución. Esta orden
permite a clientes desde otros hosts conectarse y usar su pantalla. Lo
-que puede ser práctico si usted necesita una aplicación X de un equipo
+que puede ser práctico si necesita una aplicación X de un equipo
diferente y la única manera de utilizarla es a través de la red, pero
lo que también puede permitir ser aprovechado por un atacante. La
sintaxis es <c>/usr/X11R6/bin/xhost +nombre_de_host</c>
@@ -599,7 +610,7 @@
¡No use nunca la opción <c>xhost +</c>! Esto permitirá a cualquier
cliente conectarse y tomar el control de sus X. Si un atacante puede
tener acceso a sus X, puede registrar lo que teclee y tomar el control
-de su escritorio. Recuerde especificar siempre un host si usted debe
+de su escritorio. Recuerde especificar siempre un host si tiene que
utilizarlo.
</warn>
@@ -624,7 +635,7 @@
</pre>
<p>
-Si usted usa un gestor gráfico de login necesitará cambiar otros
+Si usa un gestor gráfico de acceso necesitará cambiar otros
archivos.
</p>
@@ -645,6 +656,7 @@
<pre caption="/etc/X11/xdm/Xservers">
:0 local /usr/bin/X11/X -nolisten tcp
</pre>
+
</body>
</section>
</sections>
1.3 xml/htdocs/doc/es/security/shb-tcp.xml
file :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-tcp.xml?rev=1.3&view=markup
plain:
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-tcp.xml?rev=1.3&content-type=text/plain
diff :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-tcp.xml?r1=1.2&r2=1.3
Index: shb-tcp.xml
===================================================================
RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-tcp.xml,v
retrieving revision 1.2
retrieving revision 1.3
diff -u -r1.2 -r1.3
--- shb-tcp.xml 19 May 2010 12:03:15 -0000 1.2
+++ shb-tcp.xml 8 Aug 2014 15:16:44 -0000 1.3
@@ -1,5 +1,5 @@
<?xml version='1.0' encoding='UTF-8'?>
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-tcp.xml,v 1.2
2010/05/19 12:03:15 chiguire Exp $ -->
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-tcp.xml,v 1.3
2014/08/08 15:16:44 nimiux Exp $ -->
<!DOCTYPE sections SYSTEM "/dtd/book.dtd">
<!-- The content of this document is licensed under the CC-BY-SA license -->
@@ -25,12 +25,10 @@
xinetd). Vea el capítulo de xinetd para más información.
</note>
-<p/>
<pre caption="/etc/hosts.deny">
ALL:PARANOID
</pre>
-<p/>
<pre caption="/etc/hosts.allow">
ALL: LOCAL @wheel
time: LOCAL, .gentoo.org
@@ -40,12 +38,12 @@
Como puede ver el formato es muy similar al de
<path>/etc/security/access.conf</path>. Tcpd soporta un servicio
específico; no se solapa con
-<path>/etc/security/access.conf</path>. Estas configuraciones sólo
+<path>/etc/security/access.conf</path>. Estas configuraciones solo
aplican a los servicios que utilizan tcp wrappers.
</p>
<p>
-También es posible ejecutar comandos cuando se accede a un servicio
+También es posible ejecutar órdenes cuando se accede a un servicio
(puede ser usado cuando se activa el reenvío de llamadas entrantes de
usuarios) pero no se recomienda, puesto que se tiende a crear más
problemas de los que está tratando de resolver. Un ejemplo podría ser
@@ -56,6 +54,7 @@
montón de I/O y mensajes. Por tanto ¡no lo haga! Lea <c>man 5
hosts_access</c> para más información.
</p>
+
</body>
</section>
</sections>
1.3 xml/htdocs/doc/es/security/shb-tight.xml
file :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-tight.xml?rev=1.3&view=markup
plain:
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-tight.xml?rev=1.3&content-type=text/plain
diff :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-tight.xml?r1=1.2&r2=1.3
Index: shb-tight.xml
===================================================================
RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-tight.xml,v
retrieving revision 1.2
retrieving revision 1.3
diff -u -r1.2 -r1.3
--- shb-tight.xml 16 Mar 2006 12:38:48 -0000 1.2
+++ shb-tight.xml 8 Aug 2014 15:16:44 -0000 1.3
@@ -1,5 +1,5 @@
<?xml version='1.0' encoding='UTF-8'?>
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-tight.xml,v
1.2 2006/03/16 12:38:48 chiguire Exp $ -->
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-tight.xml,v
1.3 2014/08/08 15:16:44 nimiux Exp $ -->
<!DOCTYPE sections SYSTEM "/dtd/book.dtd">
<!-- The content of this document is licensed under the CC-BY-SA license -->
@@ -23,6 +23,7 @@
Modules), <c>tcpd</c> (TCP wrappers) y <c>ssl</c> (Secure Socket
Layer). Esas tres aparecen en los parámetros USE por defecto.
</p>
+
</body>
</section>
@@ -56,10 +57,11 @@
</p>
<p>
-Puede cifrar su contraseña directamente en el shell de grub:
+Puede cifrar su contraseña directamente en el intérprete de comandos
+de grub:
</p>
-<pre caption="md5crypt en el shell de grub">
+<pre caption="md5crypt en el intérprete de comandos de grub">
#<i>/sbin/grub</i>
GRUB version 0.92 (640K lower / 3072K upper memory)
@@ -71,7 +73,7 @@
grub> <i>md5crypt</i>
Password: <i>********</i>
-<comment>(Tecleado cámbiame en el prompt)</comment>
+<comment>(Tecleado cámbiame en el símbolo de espera de órdenes)</comment>
Encrypted: $1$tDa3G0$ex6pzfebFmkeZrGRU1YWe0
grub> <i>quit</i>
@@ -93,6 +95,7 @@
teclado. Puede encontrar más información a cerca de las contraseñas de
GRUB ejecutando <c>info grub</c>.
</p>
+
</body>
</section>
@@ -106,7 +109,7 @@
</p>
<p>
-La contraseña global se establece en el inicio del fichero de configuración,
+La contraseña global se establece en el inicio del fichero de configuración,
y se aplica a cada imagen de arranque:
</p>
@@ -136,6 +139,7 @@
Para poder almacenar la nueva información en <path>lilo.conf</path> debe
ejecutar <c>/sbin/lilo</c>.
</p>
+
</body>
</section>
@@ -152,7 +156,7 @@
<p>
Le sugerimos que comente todas las líneas excepto <c>vc/1</c> si está
usando devfs y todas las líneas excepto <c>tty1</c> si está usando
-udev. Esto le asegurará que root sólo puede hacer un login y sólo en
+udev. Esto le asegurará que root solo puede hacer un login y solo en
un terminal.
</p>
@@ -161,7 +165,6 @@
<c>su -</c> para convertirse en root en otras TTYs.
</note>
-<p/>
<pre caption="/etc/securetty">
<comment>(Para devfs)</comment>
vc/1
1.3 xml/htdocs/doc/es/security/shb-uptodate.xml
file :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-uptodate.xml?rev=1.3&view=markup
plain:
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-uptodate.xml?rev=1.3&content-type=text/plain
diff :
http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/es/security/shb-uptodate.xml?r1=1.2&r2=1.3
Index: shb-uptodate.xml
===================================================================
RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-uptodate.xml,v
retrieving revision 1.2
retrieving revision 1.3
diff -u -r1.2 -r1.3
--- shb-uptodate.xml 15 Oct 2005 15:31:04 -0000 1.2
+++ shb-uptodate.xml 8 Aug 2014 15:16:44 -0000 1.3
@@ -1,5 +1,5 @@
<?xml version='1.0' encoding='UTF-8'?>
-<!-- $Header:
/var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-uptodate.xml,v 1.2
2005/10/15 15:31:04 yoswink Exp $ -->
+<!-- $Header:
/var/cvsroot/gentoo/xml/htdocs/doc/es/security/shb-uptodate.xml,v 1.3
2014/08/08 15:16:44 nimiux Exp $ -->
<!DOCTYPE sections SYSTEM "/dtd/book.dtd">
<!-- The content of this document is licensed under the CC-BY-SA license -->
@@ -26,7 +26,7 @@
<p>
Si tiene una versión reciente del <c>portage</c> instalada, primero
debe sincronizar su árbol del portage mediante <c>emerge --sync</c> y
-entonces ejecutar el comando <c>glsa-check --list</c> para comprobar
+entonces ejecutar la orden <c>glsa-check --list</c> para comprobar
si su sistema está actualizado en cuanto a la seguridad.
<c>glsa-check</c> forma parte de <c>app-portage/gentoolkit</c>.
</p>
@@ -39,11 +39,11 @@
and equery.
Please read http://www.gentoo.org/proj/en/portage/glsa-integration.xml
before using this tool AND before reporting a bug.
-
+
[A] means this GLSA was already applied,
[U] means the system is not affected and
[N] indicates that the system might be affected.
-
+
200406-03 [N] sitecopy: Multiple vulnerabilities in included libneon (
net-misc/sitecopy )
200406-04 [U] Mailman: Member password disclosure vulnerability (
net-mail/mailman )
.......
@@ -63,7 +63,7 @@
<impo>
Hay que tener en cuenta que el habitual <c>emerge -vpuD world</c> no
recogerá todas las actualizaciones de paquetes. Tendremos que utilizar
-<c>glsa-check</c> si queremos asegurarnos que todos los GLSAs son
+<c>glsa-check</c> si queremos asegurarnos que todos los GLSAs son
aplicados en el sistema.
</impo>
@@ -113,17 +113,19 @@
</p>
<p>
-Si usted quiere recibir un mensaje cada vez que se libera un GLSA,
+Si quiere recibir un mensaje cada vez que se libera un GLSA,
subscríbase a la lista de correo <c>gentoo-announce</c>. Las
instrucciones para unirse así como otras buenas listas de correo las
-pude encontrar en <uri link="/main/en/lists.xml">Gentoo Linux Mailing
+pude encontrar en <uri link="/main/es/lists.xml">Gentoo Linux Mailing
List Overview</uri>.
</p>
<p>
-Otro buen recurso de seguridad es <uri
link="http://www.securityfocus.com/archive/1";>Bugtraq
+Otro buen recurso de seguridad es
+<uri link="http://www.securityfocus.com/archive/1";>Bugtraq
mailinglist</uri>.
</p>
+
</body>
</section>
</sections>
