Nociones basicas de seguridad en l inux

752 views
662 views

Published on

Nociones basicas de seguridad en LInux

Published in: Technology
1 Comment
0 Likes
Statistics
Notes
  • Be the first to like this

No Downloads
Views
Total views
752
On SlideShare
0
From Embeds
0
Number of Embeds
7
Actions
Shares
0
Downloads
8
Comments
1
Likes
0
Embeds 0
No embeds

No notes for slide

Nociones basicas de seguridad en l inux

  1. 1. Nociones basicas de seguridad en GNU/Linux Victor Leonel Orozco López Presentacion elaborada a partir del material de: Rene Mayorga - Debian-sv
  2. 2. ¿Quien soy? <ul><li>En el software libre </li><ul><ul><ul><li>Usuario GNU/Linux desde 2003 (cualquiera que se imaginen)
  3. 3. Tiempo completo desde 2006 (Gentoo)
  4. 4. Administrador de sistemas desde el 2006 </li></ul></ul><li>En software </li><ul><ul><li>Certificado por tata consulting services como DBA en oracle
  5. 5. Desarollo de aplicaciónes en J2EE desde el 2008 </li></ul></ul></ul><ul><li>Experimentando siempre con free software (solaris, bsd y lo que venga) </li></ul><li>Miembro de lugusac, slgt y fundador del grupo de usuarios Linux de San Marcos
  6. 6. Adicto a la cafeina, rss y la buena musica </li></ul>
  7. 7. Agenda <ul><li>¿Que es GNU/Linux?
  8. 8. ¿Es importante?
  9. 9. Principios de seguridad
  10. 10. Algunos consejos </li></ul>
  11. 11. GNU/Linux <ul><li>Sistema operativo
  12. 12. Utilidades
  13. 13. Un sistema libre inspirado en UNIX
  14. 14. Cuatro libertades (compartir, estudiar, modificar y redistribuir) </li></ul>
  15. 15. Es importante <ul><li>Empresas como: </li><ul><li>Google
  16. 16. Yahoo
  17. 17. Wordpress
  18. 18. Hi5 </li></ul><li>Todas estas empresas dan fe de que esto no es asi, incluso uds. podrian estar utilizando software libre </li></ul>
  19. 19. Asegurar al 100% un servidor <ul><li>¿Como asegurar al 100% un servidor? </li><ul><li>¿Ideas? </li></ul></ul>
  20. 20. Asegurar al 100% un servidor <ul><li>¿Como asegurar al 100% un servidor? </li><ul><li>¿Ideas? </li></ul><li>Facil!!!. Desconectando el cable de energia y asegurandolo dentro de una caja fuerte. </li></ul>
  21. 21. Asegurar al 100% un servidor <ul><li>¿Como asegurar al 100% un servidor? </li><ul><li>¿Ideas? </li></ul><li>Facil!!!. Desconectando el cable de energia y asegurandolo dentro de una caja fuerte. </li><ul><li>Y aun asi podrian penetrar la caja y robar nuestra información </li></ul></ul>
  22. 22. Principios de seguridad <ul><li>Principio # 0
  23. 23. Siempre seremos blanco de ataque. </li></ul>
  24. 24. Principios de seguridad <ul><li>Principio # 0
  25. 25. Siempre seremos blanco de ataque. </li><ul><li>botnets
  26. 26. zombies
  27. 27. pr0n, ancho de banda </li></ul></ul>
  28. 28. Principios de seguridad <ul><li>Principio # 1
  29. 29. El sistema operativo es tan seguro como nosotros querramos. </li></ul>
  30. 30. Principios de seguridad <ul><li>Principio # 1
  31. 31. El sistema operativo es tan seguro como nosotros querramos. </li><ul><li>Pero hay sistemas que no ayudan ;). </li></ul></ul>Facilidad Seguridad
  32. 32. Principios de seguridad <ul><li>Principio # 2
  33. 33. Pensar siempre en el *que necesito que haga* no que software voy a utilizar </li></ul>
  34. 34. Principios de seguridad <ul><li>Principio # 2
  35. 35. Pensar siempre en el *que necesito que haga* no que software voy a utilizar </li><ul><li>Por ejemplo NO necesito chat, musica o ¿entorno grafico?, solo necesito que el software funcióne.
  36. 36. Los sistemas base y distribuciones normales son buena opción (debian, red hat) </li></ul></ul>
  37. 37. Principios de seguridad <ul><li>Principio # 3
  38. 38. Nunca esta de más particionar </li></ul>
  39. 39. Principios de seguridad <ul><li>De lo comodo a lo incomodo </li></ul>/ (raiz)
  40. 40. Principios de seguridad <ul><li>De lo comodo a lo incomodo </li></ul>/ (raiz) /home /usr /tmp
  41. 41. ¿Porque? <ul><li>¿Ideas? </li></ul>
  42. 42. ¿Porque? <ul><li>¿Ideas? </li><ul><li>Se propaga menos el daño
  43. 43. Mejor control
  44. 44. Para eso se hicieron las particiones
  45. 45. CONTROL DE PERMISOS </li></ul></ul>
  46. 46. ¿Porque? <ul><li>¿Ideas? </li><ul><li>Se propaga menos el daño
  47. 47. Mejor control
  48. 48. Para eso se hicieron las particiones
  49. 49. CONTROL DE PERMISOS </li></ul></ul>
  50. 50. Permisos <ul><li>¿Que son? </li></ul>
  51. 51. Permisos <ul><li>Permisos=¿Quien hace que?
  52. 52. ¿Quien? </li><ul><ul><li>Usuarios
  53. 53. Grupo
  54. 54. Otros </li></ul><li>¿Que? </li><ul><li>Leer
  55. 55. Escribir
  56. 56. Ejecutar </li></ul></ul></ul>
  57. 57. ¿Entonces como segmento? <ul><li>Proteger al usuario de si mismo </li></ul>* Escribir * Modificar * NO ejecutar /home
  58. 58. ¿Entonces como segmento? <ul><li>Proteger al sistema del administrador </li></ul>* Escribir * Modificar * NO ejecutar * Solo deberia Ser posible MIENTRAS INSTALAMOS /home /usr
  59. 59. ¿Entonces como segmento? <ul><li>Proteger al sistema del administrador </li></ul>* Escribir * Modificar * NO ejecutar * Solo deberia Ser posible MIENTRAS INSTALAMOS * CUALQUIERA TIENE PERMISO * La preferida de Los hackers *NO ejecutar /home /usr /tmp
  60. 60. ¿Entonces como segmento? <ul><li>Proteger al sistema del administrador </li></ul>* Escribir * Modificar * NO ejecutar * Solo deberia Ser posible MIENTRAS INSTALAMOS * CUALQUIERA TIENE PERMISO * La preferida de Los hackers *NO ejecutar * Similar a la Anterior * El sistema SI Necesita escribir *NO ejecutar /home /usr /tmp /var
  61. 61. Lo que logre <ul><li>Proteger al usuario de si mismo
  62. 62. Proteger las rutas importantes para que los hackers no modifiquen ejecutables o reemplacen los existentes (ro)
  63. 63. La idea es que solo el administrador pueda administrar y editar este esquema DE MANERA TEMPORAL </li></ul>
  64. 64. Software recomendado <ul><li>Planificar antes de instalar e instalar SOLO LO ESTRICTAMENTE NECESARIO </li></ul>
  65. 65. Algunos consejos <ul><li>Mis usuarios son una de mis mayores amenazas </li></ul>
  66. 66. Algunos consejos <ul><li>Mis usuarios son una de mis mayores amenazas </li><ul><li>Cracklib para que el usuario no utilice contraseñas sencillas </li></ul></ul>
  67. 67. Algunos consejos <ul><li>Mis usuarios son una de mis mayores amenazas </li><ul><li>Cracklib para que el usuario no utilice contraseñas sencillas
  68. 68. De ser posible (y si el $$$ lo permite) utilizar kerberos </li></ul></ul>
  69. 69. Algunos consejos <ul><li>Mis malas practicas tambien son una amenaza </li></ul>
  70. 70. Algunos consejos <ul><li>Mis malas practicas tambien son una amenaza </li><ul><li>/etc/passwd el esqueleto de usuarios </li></ul></ul>
  71. 71. Software recomendado <ul><li>Mis malas practicas tambien son una amenaza </li><ul><li>/etc/passwd el esqueleto de usuarios </li><ul><li>Hay usuarios que no necesitan shell
  72. 72. /bin/false </li></ul></ul></ul>
  73. 73. Software recomendado <ul><li>Mis malas practicas tambien son una amenaza </li><ul><li>/etc/passwd el esqueleto de usuarios </li><ul><li>Hay usuarios que no necesitan shell
  74. 74. /bin/false </li></ul><li>No necesito superpoderes 24/7 </li></ul></ul>
  75. 75. Algunos consejos <ul><li>Mis malas practicas tambien son una amenaza </li><ul><li>/etc/passwd el esqueleto de usuarios </li><ul><li>Hay usuarios que no necesitan shell
  76. 76. /bin/false </li></ul><li>No necesito superpoderes 24/7 </li><ul><li>No solo ROOT puede administrar </li></ul></ul></ul>
  77. 77. Algunos consejos <ul><li>Mis malas practicas tambien son una amenaza </li><ul><li>/etc/passwd el esqueleto de usuarios </li><ul><li>Hay usuarios que no necesitan shell
  78. 78. /bin/false </li></ul><li>No necesito superpoderes 24/7 </li><ul><li>No solo ROOT puede administrar
  79. 79. adm puede revisar status y yo puedo ser parte de adm </li></ul></ul></ul>
  80. 80. Algunos consejos <ul><li>Mis malas practicas tambien son una amenaza </li><ul><li>/etc/passwd el esqueleto de usuarios </li><ul><li>Hay usuarios que no necesitan shell
  81. 81. /bin/false </li></ul><li>No necesito superpoderes 24/7 </li><ul><li>No solo ROOT puede administrar
  82. 82. adm puede revisar status y yo puedo ser parte de adm
  83. 83. Tener cuidado a quien dejo en wheel </li></ul></ul></ul>
  84. 84. Algunos consejos <ul><li>Cuidar mi acceso remoto, puede ser de dos filos </li></ul>
  85. 85. Algunos consejos <ul><li>Cuidar mi acceso remoto, puede ser de dos filos </li><ul><li>Cambiar el puerto no funcióna (nmap) </li></ul></ul>
  86. 86. Algunos consejos <ul><li>Cuidar mi acceso remoto, puede ser de dos filos </li><ul><li>Cambiar el puerto no funcióna (nmap)
  87. 87. No permitir root por ssh, para eso es mejor estar frente a la pc </li></ul></ul>
  88. 88. Algunos consejos <ul><li>Cuidar mi acceso remoto, puede ser de dos filos </li><ul><li>Cambiar el puerto no funcióna (nmap)
  89. 89. No permitir root por ssh, para eso es mejor estar frente a la pc
  90. 90. Timeout considerable </li></ul></ul>
  91. 91. Algunos consejos <ul><li>Cuidar mi acceso remoto, puede ser de dos filos </li><ul><li>Cambiar el puerto no funcióna (nmap)
  92. 92. No permitir root por ssh, para eso es mejor estar frente a la pc
  93. 93. Timeout considerable
  94. 94. SOLO v2 ssh (jamas ssh 1, mucho menos telnet) </li></ul></ul>
  95. 95. Algunos consejos <ul><li>Si tengo sospecha revisar siempre: </li><ul><li>Los procesos (ps -fea)
  96. 96. Los puertos (netstat -ptua)
  97. 97. Cualquier cosa reciente (who, history), la paranoia a veces es buena </li></ul></ul>
  98. 98. Algunos consejos <ul><li>Aislar cuando sea posible </li></ul>
  99. 99. Algunos consejos <ul><li>Aislar cuando sea posible </li><ul><li>Jails (jaulas) de chroot </li></ul></ul>
  100. 100. Algunos consejos <ul><li>Aislar cuando sea posible </li><ul><li>Jails (jaulas) de chroot
  101. 101. Virtualización (lo que esta de moda) </li></ul></ul>
  102. 102. Software <ul><li>Script kiddies </li><ul><li>fail2ban
  103. 103. sshguard
  104. 104. scponly
  105. 105. samhain
  106. 106. syslog </li></ul></ul>
  107. 107. Algo más <ul><li>Firewalls
  108. 108. Tcpwrappers
  109. 109. Backups
  110. 110. Ldap, radius, kerberos
  111. 111. Etc. </li></ul>
  112. 112. Gracias :D <ul><li>¿Dudas, comentarios, sugerencias? </li><ul><li>Blog: http://tuxtor.shekalug.org
  113. 113. Mail: [email_address] </li></ul><li>Esta licencia se encuentra bajo una licencia libre (GFDL v2) en </li><ul><li>http://tuxtor.shekalug.org/talks
  114. 114. Información: http://www.gnu.org/copyleft/fdl.html </li></ul></ul>

×