[CentOS-es] Selinux.

Carlos Restrepo restrcarlos en gmail.com
Sab Jun 8 04:26:31 UTC 2013


El 7 de junio de 2013 21:46, Gerardo Barajas
<gerardo.barajas en gmail.com>escribió:

> +1
> On Jun 7, 2013 9:40 PM, "angel jauregui" <darkdiabliyo en gmail.com> wrote:
>
> > Si eres buen administrador, verificas bien tu servidor, estas al tanto de
> > tus LOGS y sabes como configurar tu firewall para la intranet (red
> local) e
> > internet, entonces SELinux sale sobrando :D... Pero otros podrian opinar
> > que podria SELinux ser un buen bloqueador al momento que se instale algun
> > malware, pero *piensa detenidamente*: en que situacion se instalaria
> algun
> > malware ?.... Necesitarias ser novato, bajar cualquier codigo,
> compilarlo y
> > probarlo...
> >
> > En ambientes REALES por lo general sabes lo que instalas y no es
> necesario
> > enfocarse en tener SELinux activo.
> >
> > Saludos !
> >
> >
> > El 7 de junio de 2013 20:37, Wilmer Arambula
> > <tecnologiaterabyte en gmail.com>escribió:
> >
> > > Estoy estudiando y leyendo mucho y me he topado con selinux por defecto
> > lo
> > > tengo disable, he leído mucho hoy respecto al tema, y veo que unos son
> > > partidarios a tenerlo desactivado y otros no, cual seria la
> recomendación
> > > ideal, y a parte de activar el firewall, cambiar puertos por defecto de
> > > aplicaciones que otras medidas de seguridad podemos aplicar para
> proteger
> > > nuestros servidores,
> > >
> > > Saludos,
> > >
> > > --
> > > *Wilmer Arambula. *
> > > *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
> > > Tlfs: +58 02512623601 - +58 4125110921.
> > > Venezuela.*
> > > *
> > > Representante Para Venezuela.*
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> >
> >
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.cantu en sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
 Wilmer.
Por experiencia puedo decirte que cualquier herramienta o utilidad que le
implementes a tus servidores en seguridad nunca sobrara, así como existen
personas creativas existen también destructivas.
Hay que ser serios en esta profesión y conscientes que a diario se crean
códigos que pueden vulnerar la seguridad de los servidores y el hecho de
tener delante de un servidor un firewalls tipo appliance (check point,
Soniwalls, Fortinet etc) no te exime a ti como administrador de la
responsabilidad de asegurarlos.

SELinux aumenta notoriamente la seguridad de un servidor y te coloco un
ejemplo: hasta la versión 5.9 de RHEL/CENTOS los productos Oracle no
convivían con SELinux, en la versión 6 y BD 11G Release 2 ya se puede dejar
activo, inclusive Oracle Linux (otro clon de RHEL) lo trae activo por
default. En esta herramienta Red Hat esta invirtiendo mucho recurso
(Horas/hombre) para continuar desarrollando controles sobre muchas mas
aplicaciones que antes no funcionaban con SELinux activo.

En la medida que vallas avanzando en esta profesión iras creando tus
propias recetas para mantener entornos confiables, utilizo el termino
confiable porque personalmente creo que lo único seguro es que algún día
moriré. :D.

Algunas recomendaciones serian:

- Instala únicamente lo que necesites
- Si tienes un servicio que no utilizas desactívalo o desinstálalo
- Mantén actualizado tu servidor
- Actívale el Firewalls y solo permite los puertos que requieras, se un
poco paranoico y permite el acceso a esos puertos únicamente a las
direcciones ip de los usuarios que utilizaran el servicio
- Utiliza tcpwrappers
- Deja el SELInux activo
- En la medida de lo posible ubica los logs del sistema en otro servidor
- Restringe el acceso directo como root
- Establece un (1) solo usuario que pueda escalar privilegios del root
- Cambia periódicamente las claves utilizando caracteres alfanuméricos y no
palabras que se encuentren en el diccionario
- Permite el acceso a la maquina (ingreso al SO) únicamente a un rango de
IP (Admon, operador, usuarios que lo necesiten)
- Utiliza sudoers para controlar la ejecución de comandos que puedan
comprometer el SO
- Restringe el acceso mediante el SSH a usuarios que lo necesite (tunea
este servicio y todos los servicios que tengas activos en tus servidores)
- Habilita el uso de certificados en el SSH (llave publica y privada)
- Utiliza JAIL (Jaulas)
- Solo utiliza ambiente grafico en los servidores si es absolutamente
necesario, o sube el ambiente grafico cuando lo necesites luego bájalo
nuevamente
- Restringe el reinicio del sistema mediante la terrorífica combinación de
teclas Ctrl+Alt+Supr
- Restringe a una o dos ttys el acceso en consola (por default siempre
queda en F1, restringe que solo ingresen por F5 por ejemplo).
- Bloquea las cuentas que no utilicen (puedes implementar esta política y
el sistema lo realizara automáticamente)
- Implementa en tu sistema que éste forcé a los usuarios a cambiar su clave
periódicamente y que esta no sea la misma que estaban utilizando.
- Configura tu firewalls para que bloquee los ataques de fuerza bruta hacia
el puerto del ssh
- Cambia los puertos por omisión en las aplicaciones que tengas instaladas
en tus servidores
- Instala un IDS (Software para detectar y prevenir intrusiones en tu red )
- Testea periódicamente (por lo menos dos veces al año) tus servidores en
busca de vulnerabilidades y remedia las encontradas (puedes usar para este
fin Backtrack o Nessus)
- Revisa periódicamente los logs del SO y de las aplicaciones.
- Coloca clave al boot (esto te puede implicar el ir a sitio ante un
reinicio de la maquina por falla eléctrica o algún evento)
- Cifra las particiones criticas (no olvides la clave porque estas "frito")
- Realiza backups de los archivos de configuración de tus servicios, de las
aplicaciones y testéalos (realiza pruebas de restauración periódicamente).
- Y finalmente con igual o mayor nivel de importancia: Documéntalo todo
(Esto te permitirá volver a instalar tus servidores y aplicaciones si
después de tantos controles, alguien entra a tu datacenter y te roba el
disco duro, se incendian tus equipos, hay una inundación o un
terremoto jejeje).


-- 
Carlos R!.


Más información sobre la lista de distribución CentOS-es