[CentOS-es] Selinux.

Wilmer Arambula tecnologiaterabyte en gmail.com
Sab Jun 8 11:32:56 UTC 2013 

Interasantes las respuestas de todos ustedes, ire paso a paso en mi VPS,
por el momento empezare por:

1.- Ya tengo activado iptables.
2.- Activare Shorewalls.
3.- Cambiar los Puertos Predeterminados.
4.- Habilitar Selinux y dar los permisos necesarios.

Saludos,


El 8 de junio de 2013 00:24, Walter Cervini <wcervini en gmail.com> escribió:

> Opino lo mismo que Gerardo, se ha vuelto una practica entre los usuarios de
> Fedora y CentOS, el inhabilitar SeLinux. Mi opinión particular como amante
> de la seguridad, nunca inhabilitar SeLinux, y mucho mas aun con tantos
> ataque a servidores que están a la merced de internet. Su implementacion no
> es compleja, si manejas el tema es tan sencillo como instalar cualquier
> aplicacion.
> La falta de conocimiento sobre el tema ha llevado a que en todos los
> tutoriales, lo primero que indica en a inhabilitar SeLinux, cosa que no
> comparto y en todas mis ayudas a los Posts hago este mismo comentario.
>
> En los proximos dias estare publicado un artículo al respecto, sobre el uso
> de SeLinux; les hare llegar el link, para que pueda ampliar conocimiento y
> hagan uso de esta gran herramienta.
>
>
>
> *Walter Cervini*
> RHCSA- RHCVA
> Redhat Certificate Verification <http://red.ht/17kDRCa>
> wcervini en gmail.com
> cerviniw en yahoo.com
> waltercervini en hotmail.com
> *412-2042186*
>  *426-8060118*
> <https://twitter.com/v0lp>@v0lp
>
>
>
>
>
> El 7 de junio de 2013 23:56, Carlos Restrepo <restrcarlos en gmail.com
> >escribió:
>
> > El 7 de junio de 2013 21:46, Gerardo Barajas
> > <gerardo.barajas en gmail.com>escribió:
> >
> > > +1
> > > On Jun 7, 2013 9:40 PM, "angel jauregui" <darkdiabliyo en gmail.com>
> wrote:
> > >
> > > > Si eres buen administrador, verificas bien tu servidor, estas al
> tanto
> > de
> > > > tus LOGS y sabes como configurar tu firewall para la intranet (red
> > > local) e
> > > > internet, entonces SELinux sale sobrando :D... Pero otros podrian
> > opinar
> > > > que podria SELinux ser un buen bloqueador al momento que se instale
> > algun
> > > > malware, pero *piensa detenidamente*: en que situacion se instalaria
> > > algun
> > > > malware ?.... Necesitarias ser novato, bajar cualquier codigo,
> > > compilarlo y
> > > > probarlo...
> > > >
> > > > En ambientes REALES por lo general sabes lo que instalas y no es
> > > necesario
> > > > enfocarse en tener SELinux activo.
> > > >
> > > > Saludos !
> > > >
> > > >
> > > > El 7 de junio de 2013 20:37, Wilmer Arambula
> > > > <tecnologiaterabyte en gmail.com>escribió:
> > > >
> > > > > Estoy estudiando y leyendo mucho y me he topado con selinux por
> > defecto
> > > > lo
> > > > > tengo disable, he leído mucho hoy respecto al tema, y veo que unos
> > son
> > > > > partidarios a tenerlo desactivado y otros no, cual seria la
> > > recomendación
> > > > > ideal, y a parte de activar el firewall, cambiar puertos por
> defecto
> > de
> > > > > aplicaciones que otras medidas de seguridad podemos aplicar para
> > > proteger
> > > > > nuestros servidores,
> > > > >
> > > > > Saludos,
> > > > >
> > > > > --
> > > > > *Wilmer Arambula. *
> > > > > *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
> > > > > Tlfs: +58 02512623601 - +58 4125110921.
> > > > > Venezuela.*
> > > > > *
> > > > > Representante Para Venezuela.*
> > > > > _______________________________________________
> > > > > CentOS-es mailing list
> > > > > CentOS-es en centos.org
> > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > M.S.I. Angel Haniel Cantu Jauregui.
> > > >
> > > > Celular: (011-52-1)-899-871-17-22
> > > > E-Mail: angel.cantu en sie-group.net
> > > > Web: http://www.sie-group.net/
> > > > Cd. Reynosa Tamaulipas.
> > > > _______________________________________________
> > > > CentOS-es mailing list
> > > > CentOS-es en centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> >  Wilmer.
> > Por experiencia puedo decirte que cualquier herramienta o utilidad que le
> > implementes a tus servidores en seguridad nunca sobrara, así como existen
> > personas creativas existen también destructivas.
> > Hay que ser serios en esta profesión y conscientes que a diario se crean
> > códigos que pueden vulnerar la seguridad de los servidores y el hecho de
> > tener delante de un servidor un firewalls tipo appliance (check point,
> > Soniwalls, Fortinet etc) no te exime a ti como administrador de la
> > responsabilidad de asegurarlos.
> >
> > SELinux aumenta notoriamente la seguridad de un servidor y te coloco un
> > ejemplo: hasta la versión 5.9 de RHEL/CENTOS los productos Oracle no
> > convivían con SELinux, en la versión 6 y BD 11G Release 2 ya se puede
> dejar
> > activo, inclusive Oracle Linux (otro clon de RHEL) lo trae activo por
> > default. En esta herramienta Red Hat esta invirtiendo mucho recurso
> > (Horas/hombre) para continuar desarrollando controles sobre muchas mas
> > aplicaciones que antes no funcionaban con SELinux activo.
> >
> > En la medida que vallas avanzando en esta profesión iras creando tus
> > propias recetas para mantener entornos confiables, utilizo el termino
> > confiable porque personalmente creo que lo único seguro es que algún día
> > moriré. :D.
> >
> > Algunas recomendaciones serian:
> >
> > - Instala únicamente lo que necesites
> > - Si tienes un servicio que no utilizas desactívalo o desinstálalo
> > - Mantén actualizado tu servidor
> > - Actívale el Firewalls y solo permite los puertos que requieras, se un
> > poco paranoico y permite el acceso a esos puertos únicamente a las
> > direcciones ip de los usuarios que utilizaran el servicio
> > - Utiliza tcpwrappers
> > - Deja el SELInux activo
> > - En la medida de lo posible ubica los logs del sistema en otro servidor
> > - Restringe el acceso directo como root
> > - Establece un (1) solo usuario que pueda escalar privilegios del root
> > - Cambia periódicamente las claves utilizando caracteres alfanuméricos y
> no
> > palabras que se encuentren en el diccionario
> > - Permite el acceso a la maquina (ingreso al SO) únicamente a un rango de
> > IP (Admon, operador, usuarios que lo necesiten)
> > - Utiliza sudoers para controlar la ejecución de comandos que puedan
> > comprometer el SO
> > - Restringe el acceso mediante el SSH a usuarios que lo necesite (tunea
> > este servicio y todos los servicios que tengas activos en tus servidores)
> > - Habilita el uso de certificados en el SSH (llave publica y privada)
> > - Utiliza JAIL (Jaulas)
> > - Solo utiliza ambiente grafico en los servidores si es absolutamente
> > necesario, o sube el ambiente grafico cuando lo necesites luego bájalo
> > nuevamente
> > - Restringe el reinicio del sistema mediante la terrorífica combinación
> de
> > teclas Ctrl+Alt+Supr
> > - Restringe a una o dos ttys el acceso en consola (por default siempre
> > queda en F1, restringe que solo ingresen por F5 por ejemplo).
> > - Bloquea las cuentas que no utilicen (puedes implementar esta política y
> > el sistema lo realizara automáticamente)
> > - Implementa en tu sistema que éste forcé a los usuarios a cambiar su
> clave
> > periódicamente y que esta no sea la misma que estaban utilizando.
> > - Configura tu firewalls para que bloquee los ataques de fuerza bruta
> hacia
> > el puerto del ssh
> > - Cambia los puertos por omisión en las aplicaciones que tengas
> instaladas
> > en tus servidores
> > - Instala un IDS (Software para detectar y prevenir intrusiones en tu
> red )
> > - Testea periódicamente (por lo menos dos veces al año) tus servidores en
> > busca de vulnerabilidades y remedia las encontradas (puedes usar para
> este
> > fin Backtrack o Nessus)
> > - Revisa periódicamente los logs del SO y de las aplicaciones.
> > - Coloca clave al boot (esto te puede implicar el ir a sitio ante un
> > reinicio de la maquina por falla eléctrica o algún evento)
> > - Cifra las particiones criticas (no olvides la clave porque estas
> "frito")
> > - Realiza backups de los archivos de configuración de tus servicios, de
> las
> > aplicaciones y testéalos (realiza pruebas de restauración
> periódicamente).
> > - Y finalmente con igual o mayor nivel de importancia: Documéntalo todo
> > (Esto te permitirá volver a instalar tus servidores y aplicaciones si
> > después de tantos controles, alguien entra a tu datacenter y te roba el
> > disco duro, se incendian tus equipos, hay una inundación o un
> > terremoto jejeje).
> >
> >
> > --
> > Carlos R!.
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
*Wilmer Arambula. *
*Asoc. Cooperativa Tecnologia Terabyte 124, RL.
Tlfs: +58 02512623601 - +58 4125110921.
Venezuela.*
*
Representante Para Venezuela.*

Más información sobre la lista de distribución CentOS-es