El día 13 de febrero de 2010 17:14, Edgardo Marti <[email protected]> escribió: > Veo que se han estado dando vueltas un monton en algo que ya quedo > claro hace rato... > Estaria bueno que hablemos de otro tipo de consideraciones de > seguridad... la seguridad informatica no son solo actualizaciones.
Bueno, te diría que otra consideración de seguridad es no tocar mucho las configuraciones que vienen por defecto. Por ejemplo: hace un tiempo empezaron a poner en el sshd que no permitiera accesos como root excepto con clave RSA. En un principio me molestó porque tenía la costumbre de acceder directo como root pero en lugar de ir a poner el comportamiento al que estaba acostumbrado, hice el esfuerzo de acostumbrarme a loguearme con mi usuario normal y después hacer un su. Es más engorroso pero reconozco que agrega una capa más de seguridad que no está de más. Normalmente, las configuraciones que vienen por defecto en las distros estan bien pensadas por gente que sabe más que nosotros sobre el asunto. Si dejamos todo como viene, lo más probable es que no tengamos problemas. Dentro del software propio que tengamos tenemos obviamente vulnerabilidades posibles. De nuevo, si tenemos todo actualizado y con configuraciones por defecto, es probable que esas vulnerabilidades no puedan comprometer el sistema completo, pero hay que cuidarlas igual porque puede afectar a nuestros servicios. Cuidado con las inyecciones de SQL, etc. Justamente la semana pasada en un sistema enlatado (y muy caro) que ha comprado mi empresa me entero de que avisaban que si tenían que poner un apóstrofe, lo pusieran doble. Cuando les contesté que eso era un problema grave, me contestaron que era un error de Oracle. Por supuesto les expliqué lo que es una inyección de SQL y que no es culpa del motor de base de datos sino del programa que lo usa, pero verás que es un error muy común (y podría asegurar que todos mis programas estén libres de ellos). Así que es algo a tener en cuenta. A mi me ha gustado bastante la política de Mandriva de incluir suhosin en el php. Es una defensa más contra varios tipos de ataques. Hasta puede detectar intentos de inyecciones de SQL, buffer overflows y cosas así. No se si otros también lo incluyen, me imagino que sí pero si no hay que tenerlo en cuenta porque es una protección más.
