Interasantes las respuestas de todos ustedes, ire paso a paso en mi VPS, por el momento empezare por:
1.- Ya tengo activado iptables. 2.- Activare Shorewalls. 3.- Cambiar los Puertos Predeterminados. 4.- Habilitar Selinux y dar los permisos necesarios.
Saludos,
El 8 de junio de 2013 00:24, Walter Cervini wcervini@gmail.com escribió:
Opino lo mismo que Gerardo, se ha vuelto una practica entre los usuarios de Fedora y CentOS, el inhabilitar SeLinux. Mi opinión particular como amante de la seguridad, nunca inhabilitar SeLinux, y mucho mas aun con tantos ataque a servidores que están a la merced de internet. Su implementacion no es compleja, si manejas el tema es tan sencillo como instalar cualquier aplicacion. La falta de conocimiento sobre el tema ha llevado a que en todos los tutoriales, lo primero que indica en a inhabilitar SeLinux, cosa que no comparto y en todas mis ayudas a los Posts hago este mismo comentario.
En los proximos dias estare publicado un artículo al respecto, sobre el uso de SeLinux; les hare llegar el link, para que pueda ampliar conocimiento y hagan uso de esta gran herramienta.
*Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcervini@gmail.com cerviniw@yahoo.com waltercervini@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp
El 7 de junio de 2013 23:56, Carlos Restrepo <restrcarlos@gmail.com
escribió:
El 7 de junio de 2013 21:46, Gerardo Barajas gerardo.barajas@gmail.comescribió:
+1 On Jun 7, 2013 9:40 PM, "angel jauregui" darkdiabliyo@gmail.com
wrote:
Si eres buen administrador, verificas bien tu servidor, estas al
tanto
de
tus LOGS y sabes como configurar tu firewall para la intranet (red
local) e
internet, entonces SELinux sale sobrando :D... Pero otros podrian
opinar
que podria SELinux ser un buen bloqueador al momento que se instale
algun
malware, pero *piensa detenidamente*: en que situacion se instalaria
algun
malware ?.... Necesitarias ser novato, bajar cualquier codigo,
compilarlo y
probarlo...
En ambientes REALES por lo general sabes lo que instalas y no es
necesario
enfocarse en tener SELinux activo.
Saludos !
El 7 de junio de 2013 20:37, Wilmer Arambula tecnologiaterabyte@gmail.comescribió:
Estoy estudiando y leyendo mucho y me he topado con selinux por
defecto
lo
tengo disable, he leído mucho hoy respecto al tema, y veo que unos
son
partidarios a tenerlo desactivado y otros no, cual seria la
recomendación
ideal, y a parte de activar el firewall, cambiar puertos por
defecto
de
aplicaciones que otras medidas de seguridad podemos aplicar para
proteger
nuestros servidores,
Saludos,
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Tlfs: +58 02512623601 - +58 4125110921. Venezuela.*
Representante Para Venezuela.* _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Wilmer. Por experiencia puedo decirte que cualquier herramienta o utilidad que le implementes a tus servidores en seguridad nunca sobrara, así como existen personas creativas existen también destructivas. Hay que ser serios en esta profesión y conscientes que a diario se crean códigos que pueden vulnerar la seguridad de los servidores y el hecho de tener delante de un servidor un firewalls tipo appliance (check point, Soniwalls, Fortinet etc) no te exime a ti como administrador de la responsabilidad de asegurarlos.
SELinux aumenta notoriamente la seguridad de un servidor y te coloco un ejemplo: hasta la versión 5.9 de RHEL/CENTOS los productos Oracle no convivían con SELinux, en la versión 6 y BD 11G Release 2 ya se puede
dejar
activo, inclusive Oracle Linux (otro clon de RHEL) lo trae activo por default. En esta herramienta Red Hat esta invirtiendo mucho recurso (Horas/hombre) para continuar desarrollando controles sobre muchas mas aplicaciones que antes no funcionaban con SELinux activo.
En la medida que vallas avanzando en esta profesión iras creando tus propias recetas para mantener entornos confiables, utilizo el termino confiable porque personalmente creo que lo único seguro es que algún día moriré. :D.
Algunas recomendaciones serian:
- Instala únicamente lo que necesites
- Si tienes un servicio que no utilizas desactívalo o desinstálalo
- Mantén actualizado tu servidor
- Actívale el Firewalls y solo permite los puertos que requieras, se un
poco paranoico y permite el acceso a esos puertos únicamente a las direcciones ip de los usuarios que utilizaran el servicio
- Utiliza tcpwrappers
- Deja el SELInux activo
- En la medida de lo posible ubica los logs del sistema en otro servidor
- Restringe el acceso directo como root
- Establece un (1) solo usuario que pueda escalar privilegios del root
- Cambia periódicamente las claves utilizando caracteres alfanuméricos y
no
palabras que se encuentren en el diccionario
- Permite el acceso a la maquina (ingreso al SO) únicamente a un rango de
IP (Admon, operador, usuarios que lo necesiten)
- Utiliza sudoers para controlar la ejecución de comandos que puedan
comprometer el SO
- Restringe el acceso mediante el SSH a usuarios que lo necesite (tunea
este servicio y todos los servicios que tengas activos en tus servidores)
- Habilita el uso de certificados en el SSH (llave publica y privada)
- Utiliza JAIL (Jaulas)
- Solo utiliza ambiente grafico en los servidores si es absolutamente
necesario, o sube el ambiente grafico cuando lo necesites luego bájalo nuevamente
- Restringe el reinicio del sistema mediante la terrorífica combinación
de
teclas Ctrl+Alt+Supr
- Restringe a una o dos ttys el acceso en consola (por default siempre
queda en F1, restringe que solo ingresen por F5 por ejemplo).
- Bloquea las cuentas que no utilicen (puedes implementar esta política y
el sistema lo realizara automáticamente)
- Implementa en tu sistema que éste forcé a los usuarios a cambiar su
clave
periódicamente y que esta no sea la misma que estaban utilizando.
- Configura tu firewalls para que bloquee los ataques de fuerza bruta
hacia
el puerto del ssh
- Cambia los puertos por omisión en las aplicaciones que tengas
instaladas
en tus servidores
- Instala un IDS (Software para detectar y prevenir intrusiones en tu
red )
- Testea periódicamente (por lo menos dos veces al año) tus servidores en
busca de vulnerabilidades y remedia las encontradas (puedes usar para
este
fin Backtrack o Nessus)
- Revisa periódicamente los logs del SO y de las aplicaciones.
- Coloca clave al boot (esto te puede implicar el ir a sitio ante un
reinicio de la maquina por falla eléctrica o algún evento)
- Cifra las particiones criticas (no olvides la clave porque estas
"frito")
- Realiza backups de los archivos de configuración de tus servicios, de
las
aplicaciones y testéalos (realiza pruebas de restauración
periódicamente).
- Y finalmente con igual o mayor nivel de importancia: Documéntalo todo
(Esto te permitirá volver a instalar tus servidores y aplicaciones si después de tantos controles, alguien entra a tu datacenter y te roba el disco duro, se incendian tus equipos, hay una inundación o un terremoto jejeje).
-- Carlos R!. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es