El 7 de junio de 2013 21:46, Gerardo Barajas gerardo.barajas@gmail.comescribió:
+1 On Jun 7, 2013 9:40 PM, "angel jauregui" darkdiabliyo@gmail.com wrote:
Si eres buen administrador, verificas bien tu servidor, estas al tanto de tus LOGS y sabes como configurar tu firewall para la intranet (red
local) e
internet, entonces SELinux sale sobrando :D... Pero otros podrian opinar que podria SELinux ser un buen bloqueador al momento que se instale algun malware, pero *piensa detenidamente*: en que situacion se instalaria
algun
malware ?.... Necesitarias ser novato, bajar cualquier codigo,
compilarlo y
probarlo...
En ambientes REALES por lo general sabes lo que instalas y no es
necesario
enfocarse en tener SELinux activo.
Saludos !
El 7 de junio de 2013 20:37, Wilmer Arambula tecnologiaterabyte@gmail.comescribió:
Estoy estudiando y leyendo mucho y me he topado con selinux por defecto
lo
tengo disable, he leído mucho hoy respecto al tema, y veo que unos son partidarios a tenerlo desactivado y otros no, cual seria la
recomendación
ideal, y a parte de activar el firewall, cambiar puertos por defecto de aplicaciones que otras medidas de seguridad podemos aplicar para
proteger
nuestros servidores,
Saludos,
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Tlfs: +58 02512623601 - +58 4125110921. Venezuela.*
Representante Para Venezuela.* _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Wilmer. Por experiencia puedo decirte que cualquier herramienta o utilidad que le implementes a tus servidores en seguridad nunca sobrara, así como existen personas creativas existen también destructivas. Hay que ser serios en esta profesión y conscientes que a diario se crean códigos que pueden vulnerar la seguridad de los servidores y el hecho de tener delante de un servidor un firewalls tipo appliance (check point, Soniwalls, Fortinet etc) no te exime a ti como administrador de la responsabilidad de asegurarlos.
SELinux aumenta notoriamente la seguridad de un servidor y te coloco un ejemplo: hasta la versión 5.9 de RHEL/CENTOS los productos Oracle no convivían con SELinux, en la versión 6 y BD 11G Release 2 ya se puede dejar activo, inclusive Oracle Linux (otro clon de RHEL) lo trae activo por default. En esta herramienta Red Hat esta invirtiendo mucho recurso (Horas/hombre) para continuar desarrollando controles sobre muchas mas aplicaciones que antes no funcionaban con SELinux activo.
En la medida que vallas avanzando en esta profesión iras creando tus propias recetas para mantener entornos confiables, utilizo el termino confiable porque personalmente creo que lo único seguro es que algún día moriré. :D.
Algunas recomendaciones serian:
- Instala únicamente lo que necesites - Si tienes un servicio que no utilizas desactívalo o desinstálalo - Mantén actualizado tu servidor - Actívale el Firewalls y solo permite los puertos que requieras, se un poco paranoico y permite el acceso a esos puertos únicamente a las direcciones ip de los usuarios que utilizaran el servicio - Utiliza tcpwrappers - Deja el SELInux activo - En la medida de lo posible ubica los logs del sistema en otro servidor - Restringe el acceso directo como root - Establece un (1) solo usuario que pueda escalar privilegios del root - Cambia periódicamente las claves utilizando caracteres alfanuméricos y no palabras que se encuentren en el diccionario - Permite el acceso a la maquina (ingreso al SO) únicamente a un rango de IP (Admon, operador, usuarios que lo necesiten) - Utiliza sudoers para controlar la ejecución de comandos que puedan comprometer el SO - Restringe el acceso mediante el SSH a usuarios que lo necesite (tunea este servicio y todos los servicios que tengas activos en tus servidores) - Habilita el uso de certificados en el SSH (llave publica y privada) - Utiliza JAIL (Jaulas) - Solo utiliza ambiente grafico en los servidores si es absolutamente necesario, o sube el ambiente grafico cuando lo necesites luego bájalo nuevamente - Restringe el reinicio del sistema mediante la terrorífica combinación de teclas Ctrl+Alt+Supr - Restringe a una o dos ttys el acceso en consola (por default siempre queda en F1, restringe que solo ingresen por F5 por ejemplo). - Bloquea las cuentas que no utilicen (puedes implementar esta política y el sistema lo realizara automáticamente) - Implementa en tu sistema que éste forcé a los usuarios a cambiar su clave periódicamente y que esta no sea la misma que estaban utilizando. - Configura tu firewalls para que bloquee los ataques de fuerza bruta hacia el puerto del ssh - Cambia los puertos por omisión en las aplicaciones que tengas instaladas en tus servidores - Instala un IDS (Software para detectar y prevenir intrusiones en tu red ) - Testea periódicamente (por lo menos dos veces al año) tus servidores en busca de vulnerabilidades y remedia las encontradas (puedes usar para este fin Backtrack o Nessus) - Revisa periódicamente los logs del SO y de las aplicaciones. - Coloca clave al boot (esto te puede implicar el ir a sitio ante un reinicio de la maquina por falla eléctrica o algún evento) - Cifra las particiones criticas (no olvides la clave porque estas "frito") - Realiza backups de los archivos de configuración de tus servicios, de las aplicaciones y testéalos (realiza pruebas de restauración periódicamente). - Y finalmente con igual o mayor nivel de importancia: Documéntalo todo (Esto te permitirá volver a instalar tus servidores y aplicaciones si después de tantos controles, alguien entra a tu datacenter y te roba el disco duro, se incendian tus equipos, hay una inundación o un terremoto jejeje).