[CentOS-es] Selinux.

Sab Jun 8 04:54:54 UTC 2013

Opino lo mismo que Gerardo, se ha vuelto una practica entre los usuarios de
Fedora y CentOS, el inhabilitar SeLinux. Mi opinión particular como amante
de la seguridad, nunca inhabilitar SeLinux, y mucho mas aun con tantos
ataque a servidores que están a la merced de internet. Su implementacion no
es compleja, si manejas el tema es tan sencillo como instalar cualquier
aplicacion.
La falta de conocimiento sobre el tema ha llevado a que en todos los
tutoriales, lo primero que indica en a inhabilitar SeLinux, cosa que no
comparto y en todas mis ayudas a los Posts hago este mismo comentario.

En los proximos dias estare publicado un artículo al respecto, sobre el uso
de SeLinux; les hare llegar el link, para que pueda ampliar conocimiento y
hagan uso de esta gran herramienta.

*Walter Cervini*
RHCSA- RHCVA
Redhat Certificate Verification <http://red.ht/17kDRCa>
wcervini en gmail.com
cerviniw en yahoo.com
waltercervini en hotmail.com
*412-2042186*
 *426-8060118*
<https://twitter.com/v0lp>@v0lp

El 7 de junio de 2013 23:56, Carlos Restrepo <restrcarlos en gmail.com>escribió:

> El 7 de junio de 2013 21:46, Gerardo Barajas
> <gerardo.barajas en gmail.com>escribió:
>
> > +1
> > On Jun 7, 2013 9:40 PM, "angel jauregui" <darkdiabliyo en gmail.com> wrote:
> >
> > > Si eres buen administrador, verificas bien tu servidor, estas al tanto
> de
> > > tus LOGS y sabes como configurar tu firewall para la intranet (red
> > local) e
> > > internet, entonces SELinux sale sobrando :D... Pero otros podrian
> opinar
> > > que podria SELinux ser un buen bloqueador al momento que se instale
> algun
> > > malware, pero *piensa detenidamente*: en que situacion se instalaria
> > algun
> > > malware ?.... Necesitarias ser novato, bajar cualquier codigo,
> > compilarlo y
> > > probarlo...
> > >
> > > En ambientes REALES por lo general sabes lo que instalas y no es
> > necesario
> > > enfocarse en tener SELinux activo.
> > >
> > > Saludos !
> > >
> > >
> > > El 7 de junio de 2013 20:37, Wilmer Arambula
> > > <tecnologiaterabyte en gmail.com>escribió:
> > >
> > > > Estoy estudiando y leyendo mucho y me he topado con selinux por
> defecto
> > > lo
> > > > tengo disable, he leído mucho hoy respecto al tema, y veo que unos
> son
> > > > partidarios a tenerlo desactivado y otros no, cual seria la
> > recomendación
> > > > ideal, y a parte de activar el firewall, cambiar puertos por defecto
> de
> > > > aplicaciones que otras medidas de seguridad podemos aplicar para
> > proteger
> > > > nuestros servidores,
> > > >
> > > > Saludos,
> > > >
> > > > --
> > > > *Wilmer Arambula. *
> > > > *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
> > > > Tlfs: +58 02512623601 - +58 4125110921.
> > > > Venezuela.*
> > > > *
> > > > Representante Para Venezuela.*
> > > > _______________________________________________
> > > > CentOS-es mailing list
> > > > CentOS-es en centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > >
> > >
> > >
> > > --
> > > M.S.I. Angel Haniel Cantu Jauregui.
> > >
> > > Celular: (011-52-1)-899-871-17-22
> > > E-Mail: angel.cantu en sie-group.net
> > > Web: http://www.sie-group.net/
> > > Cd. Reynosa Tamaulipas.
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>  Wilmer.
> Por experiencia puedo decirte que cualquier herramienta o utilidad que le
> implementes a tus servidores en seguridad nunca sobrara, así como existen
> personas creativas existen también destructivas.
> Hay que ser serios en esta profesión y conscientes que a diario se crean
> códigos que pueden vulnerar la seguridad de los servidores y el hecho de
> tener delante de un servidor un firewalls tipo appliance (check point,
> Soniwalls, Fortinet etc) no te exime a ti como administrador de la
> responsabilidad de asegurarlos.
>
> SELinux aumenta notoriamente la seguridad de un servidor y te coloco un
> ejemplo: hasta la versión 5.9 de RHEL/CENTOS los productos Oracle no
> convivían con SELinux, en la versión 6 y BD 11G Release 2 ya se puede dejar
> activo, inclusive Oracle Linux (otro clon de RHEL) lo trae activo por
> default. En esta herramienta Red Hat esta invirtiendo mucho recurso
> (Horas/hombre) para continuar desarrollando controles sobre muchas mas
> aplicaciones que antes no funcionaban con SELinux activo.
>
> En la medida que vallas avanzando en esta profesión iras creando tus
> propias recetas para mantener entornos confiables, utilizo el termino
> confiable porque personalmente creo que lo único seguro es que algún día
> moriré. :D.
>
> Algunas recomendaciones serian:
>
> - Instala únicamente lo que necesites
> - Si tienes un servicio que no utilizas desactívalo o desinstálalo
> - Mantén actualizado tu servidor
> - Actívale el Firewalls y solo permite los puertos que requieras, se un
> poco paranoico y permite el acceso a esos puertos únicamente a las
> direcciones ip de los usuarios que utilizaran el servicio
> - Utiliza tcpwrappers
> - Deja el SELInux activo
> - En la medida de lo posible ubica los logs del sistema en otro servidor
> - Restringe el acceso directo como root
> - Establece un (1) solo usuario que pueda escalar privilegios del root
> - Cambia periódicamente las claves utilizando caracteres alfanuméricos y no
> palabras que se encuentren en el diccionario
> - Permite el acceso a la maquina (ingreso al SO) únicamente a un rango de
> IP (Admon, operador, usuarios que lo necesiten)
> - Utiliza sudoers para controlar la ejecución de comandos que puedan
> comprometer el SO
> - Restringe el acceso mediante el SSH a usuarios que lo necesite (tunea
> este servicio y todos los servicios que tengas activos en tus servidores)
> - Habilita el uso de certificados en el SSH (llave publica y privada)
> - Utiliza JAIL (Jaulas)
> - Solo utiliza ambiente grafico en los servidores si es absolutamente
> necesario, o sube el ambiente grafico cuando lo necesites luego bájalo
> nuevamente
> - Restringe el reinicio del sistema mediante la terrorífica combinación de
> teclas Ctrl+Alt+Supr
> - Restringe a una o dos ttys el acceso en consola (por default siempre
> queda en F1, restringe que solo ingresen por F5 por ejemplo).
> - Bloquea las cuentas que no utilicen (puedes implementar esta política y
> el sistema lo realizara automáticamente)
> - Implementa en tu sistema que éste forcé a los usuarios a cambiar su clave
> periódicamente y que esta no sea la misma que estaban utilizando.
> - Configura tu firewalls para que bloquee los ataques de fuerza bruta hacia
> el puerto del ssh
> - Cambia los puertos por omisión en las aplicaciones que tengas instaladas
> en tus servidores
> - Instala un IDS (Software para detectar y prevenir intrusiones en tu red )
> - Testea periódicamente (por lo menos dos veces al año) tus servidores en
> busca de vulnerabilidades y remedia las encontradas (puedes usar para este
> fin Backtrack o Nessus)
> - Revisa periódicamente los logs del SO y de las aplicaciones.
> - Coloca clave al boot (esto te puede implicar el ir a sitio ante un
> reinicio de la maquina por falla eléctrica o algún evento)
> - Cifra las particiones criticas (no olvides la clave porque estas "frito")
> - Realiza backups de los archivos de configuración de tus servicios, de las
> aplicaciones y testéalos (realiza pruebas de restauración periódicamente).
> - Y finalmente con igual o mayor nivel de importancia: Documéntalo todo
> (Esto te permitirá volver a instalar tus servidores y aplicaciones si
> después de tantos controles, alguien entra a tu datacenter y te roba el
> disco duro, se incendian tus equipos, hay una inundación o un
> terremoto jejeje).
>
>
> --
> Carlos R!.
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>