Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Nociones basicas de seguridad en l inux

825 views

Published on

Nociones basicas de seguridad en LInux

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Nociones basicas de seguridad en l inux

  1. 1. Nociones basicas de seguridad en GNU/Linux Victor Leonel Orozco López Presentacion elaborada a partir del material de: Rene Mayorga - Debian-sv
  2. 2. ¿Quien soy? <ul><li>En el software libre </li><ul><ul><ul><li>Usuario GNU/Linux desde 2003 (cualquiera que se imaginen)
  3. 3. Tiempo completo desde 2006 (Gentoo)
  4. 4. Administrador de sistemas desde el 2006 </li></ul></ul><li>En software </li><ul><ul><li>Certificado por tata consulting services como DBA en oracle
  5. 5. Desarollo de aplicaciónes en J2EE desde el 2008 </li></ul></ul></ul><ul><li>Experimentando siempre con free software (solaris, bsd y lo que venga) </li></ul><li>Miembro de lugusac, slgt y fundador del grupo de usuarios Linux de San Marcos
  6. 6. Adicto a la cafeina, rss y la buena musica </li></ul>
  7. 7. Agenda <ul><li>¿Que es GNU/Linux?
  8. 8. ¿Es importante?
  9. 9. Principios de seguridad
  10. 10. Algunos consejos </li></ul>
  11. 11. GNU/Linux <ul><li>Sistema operativo
  12. 12. Utilidades
  13. 13. Un sistema libre inspirado en UNIX
  14. 14. Cuatro libertades (compartir, estudiar, modificar y redistribuir) </li></ul>
  15. 15. Es importante <ul><li>Empresas como: </li><ul><li>Google
  16. 16. Yahoo
  17. 17. Wordpress
  18. 18. Hi5 </li></ul><li>Todas estas empresas dan fe de que esto no es asi, incluso uds. podrian estar utilizando software libre </li></ul>
  19. 19. Asegurar al 100% un servidor <ul><li>¿Como asegurar al 100% un servidor? </li><ul><li>¿Ideas? </li></ul></ul>
  20. 20. Asegurar al 100% un servidor <ul><li>¿Como asegurar al 100% un servidor? </li><ul><li>¿Ideas? </li></ul><li>Facil!!!. Desconectando el cable de energia y asegurandolo dentro de una caja fuerte. </li></ul>
  21. 21. Asegurar al 100% un servidor <ul><li>¿Como asegurar al 100% un servidor? </li><ul><li>¿Ideas? </li></ul><li>Facil!!!. Desconectando el cable de energia y asegurandolo dentro de una caja fuerte. </li><ul><li>Y aun asi podrian penetrar la caja y robar nuestra información </li></ul></ul>
  22. 22. Principios de seguridad <ul><li>Principio # 0
  23. 23. Siempre seremos blanco de ataque. </li></ul>
  24. 24. Principios de seguridad <ul><li>Principio # 0
  25. 25. Siempre seremos blanco de ataque. </li><ul><li>botnets
  26. 26. zombies
  27. 27. pr0n, ancho de banda </li></ul></ul>
  28. 28. Principios de seguridad <ul><li>Principio # 1
  29. 29. El sistema operativo es tan seguro como nosotros querramos. </li></ul>
  30. 30. Principios de seguridad <ul><li>Principio # 1
  31. 31. El sistema operativo es tan seguro como nosotros querramos. </li><ul><li>Pero hay sistemas que no ayudan ;). </li></ul></ul>Facilidad Seguridad
  32. 32. Principios de seguridad <ul><li>Principio # 2
  33. 33. Pensar siempre en el *que necesito que haga* no que software voy a utilizar </li></ul>
  34. 34. Principios de seguridad <ul><li>Principio # 2
  35. 35. Pensar siempre en el *que necesito que haga* no que software voy a utilizar </li><ul><li>Por ejemplo NO necesito chat, musica o ¿entorno grafico?, solo necesito que el software funcióne.
  36. 36. Los sistemas base y distribuciones normales son buena opción (debian, red hat) </li></ul></ul>
  37. 37. Principios de seguridad <ul><li>Principio # 3
  38. 38. Nunca esta de más particionar </li></ul>
  39. 39. Principios de seguridad <ul><li>De lo comodo a lo incomodo </li></ul>/ (raiz)
  40. 40. Principios de seguridad <ul><li>De lo comodo a lo incomodo </li></ul>/ (raiz) /home /usr /tmp
  41. 41. ¿Porque? <ul><li>¿Ideas? </li></ul>
  42. 42. ¿Porque? <ul><li>¿Ideas? </li><ul><li>Se propaga menos el daño
  43. 43. Mejor control
  44. 44. Para eso se hicieron las particiones
  45. 45. CONTROL DE PERMISOS </li></ul></ul>
  46. 46. ¿Porque? <ul><li>¿Ideas? </li><ul><li>Se propaga menos el daño
  47. 47. Mejor control
  48. 48. Para eso se hicieron las particiones
  49. 49. CONTROL DE PERMISOS </li></ul></ul>
  50. 50. Permisos <ul><li>¿Que son? </li></ul>
  51. 51. Permisos <ul><li>Permisos=¿Quien hace que?
  52. 52. ¿Quien? </li><ul><ul><li>Usuarios
  53. 53. Grupo
  54. 54. Otros </li></ul><li>¿Que? </li><ul><li>Leer
  55. 55. Escribir
  56. 56. Ejecutar </li></ul></ul></ul>
  57. 57. ¿Entonces como segmento? <ul><li>Proteger al usuario de si mismo </li></ul>* Escribir * Modificar * NO ejecutar /home
  58. 58. ¿Entonces como segmento? <ul><li>Proteger al sistema del administrador </li></ul>* Escribir * Modificar * NO ejecutar * Solo deberia Ser posible MIENTRAS INSTALAMOS /home /usr
  59. 59. ¿Entonces como segmento? <ul><li>Proteger al sistema del administrador </li></ul>* Escribir * Modificar * NO ejecutar * Solo deberia Ser posible MIENTRAS INSTALAMOS * CUALQUIERA TIENE PERMISO * La preferida de Los hackers *NO ejecutar /home /usr /tmp
  60. 60. ¿Entonces como segmento? <ul><li>Proteger al sistema del administrador </li></ul>* Escribir * Modificar * NO ejecutar * Solo deberia Ser posible MIENTRAS INSTALAMOS * CUALQUIERA TIENE PERMISO * La preferida de Los hackers *NO ejecutar * Similar a la Anterior * El sistema SI Necesita escribir *NO ejecutar /home /usr /tmp /var
  61. 61. Lo que logre <ul><li>Proteger al usuario de si mismo
  62. 62. Proteger las rutas importantes para que los hackers no modifiquen ejecutables o reemplacen los existentes (ro)
  63. 63. La idea es que solo el administrador pueda administrar y editar este esquema DE MANERA TEMPORAL </li></ul>
  64. 64. Software recomendado <ul><li>Planificar antes de instalar e instalar SOLO LO ESTRICTAMENTE NECESARIO </li></ul>
  65. 65. Algunos consejos <ul><li>Mis usuarios son una de mis mayores amenazas </li></ul>
  66. 66. Algunos consejos <ul><li>Mis usuarios son una de mis mayores amenazas </li><ul><li>Cracklib para que el usuario no utilice contraseñas sencillas </li></ul></ul>
  67. 67. Algunos consejos <ul><li>Mis usuarios son una de mis mayores amenazas </li><ul><li>Cracklib para que el usuario no utilice contraseñas sencillas
  68. 68. De ser posible (y si el $$$ lo permite) utilizar kerberos </li></ul></ul>
  69. 69. Algunos consejos <ul><li>Mis malas practicas tambien son una amenaza </li></ul>
  70. 70. Algunos consejos <ul><li>Mis malas practicas tambien son una amenaza </li><ul><li>/etc/passwd el esqueleto de usuarios </li></ul></ul>
  71. 71. Software recomendado <ul><li>Mis malas practicas tambien son una amenaza </li><ul><li>/etc/passwd el esqueleto de usuarios </li><ul><li>Hay usuarios que no necesitan shell
  72. 72. /bin/false </li></ul></ul></ul>
  73. 73. Software recomendado <ul><li>Mis malas practicas tambien son una amenaza </li><ul><li>/etc/passwd el esqueleto de usuarios </li><ul><li>Hay usuarios que no necesitan shell
  74. 74. /bin/false </li></ul><li>No necesito superpoderes 24/7 </li></ul></ul>
  75. 75. Algunos consejos <ul><li>Mis malas practicas tambien son una amenaza </li><ul><li>/etc/passwd el esqueleto de usuarios </li><ul><li>Hay usuarios que no necesitan shell
  76. 76. /bin/false </li></ul><li>No necesito superpoderes 24/7 </li><ul><li>No solo ROOT puede administrar </li></ul></ul></ul>
  77. 77. Algunos consejos <ul><li>Mis malas practicas tambien son una amenaza </li><ul><li>/etc/passwd el esqueleto de usuarios </li><ul><li>Hay usuarios que no necesitan shell
  78. 78. /bin/false </li></ul><li>No necesito superpoderes 24/7 </li><ul><li>No solo ROOT puede administrar
  79. 79. adm puede revisar status y yo puedo ser parte de adm </li></ul></ul></ul>
  80. 80. Algunos consejos <ul><li>Mis malas practicas tambien son una amenaza </li><ul><li>/etc/passwd el esqueleto de usuarios </li><ul><li>Hay usuarios que no necesitan shell
  81. 81. /bin/false </li></ul><li>No necesito superpoderes 24/7 </li><ul><li>No solo ROOT puede administrar
  82. 82. adm puede revisar status y yo puedo ser parte de adm
  83. 83. Tener cuidado a quien dejo en wheel </li></ul></ul></ul>
  84. 84. Algunos consejos <ul><li>Cuidar mi acceso remoto, puede ser de dos filos </li></ul>
  85. 85. Algunos consejos <ul><li>Cuidar mi acceso remoto, puede ser de dos filos </li><ul><li>Cambiar el puerto no funcióna (nmap) </li></ul></ul>
  86. 86. Algunos consejos <ul><li>Cuidar mi acceso remoto, puede ser de dos filos </li><ul><li>Cambiar el puerto no funcióna (nmap)
  87. 87. No permitir root por ssh, para eso es mejor estar frente a la pc </li></ul></ul>
  88. 88. Algunos consejos <ul><li>Cuidar mi acceso remoto, puede ser de dos filos </li><ul><li>Cambiar el puerto no funcióna (nmap)
  89. 89. No permitir root por ssh, para eso es mejor estar frente a la pc
  90. 90. Timeout considerable </li></ul></ul>
  91. 91. Algunos consejos <ul><li>Cuidar mi acceso remoto, puede ser de dos filos </li><ul><li>Cambiar el puerto no funcióna (nmap)
  92. 92. No permitir root por ssh, para eso es mejor estar frente a la pc
  93. 93. Timeout considerable
  94. 94. SOLO v2 ssh (jamas ssh 1, mucho menos telnet) </li></ul></ul>
  95. 95. Algunos consejos <ul><li>Si tengo sospecha revisar siempre: </li><ul><li>Los procesos (ps -fea)
  96. 96. Los puertos (netstat -ptua)
  97. 97. Cualquier cosa reciente (who, history), la paranoia a veces es buena </li></ul></ul>
  98. 98. Algunos consejos <ul><li>Aislar cuando sea posible </li></ul>
  99. 99. Algunos consejos <ul><li>Aislar cuando sea posible </li><ul><li>Jails (jaulas) de chroot </li></ul></ul>
  100. 100. Algunos consejos <ul><li>Aislar cuando sea posible </li><ul><li>Jails (jaulas) de chroot
  101. 101. Virtualización (lo que esta de moda) </li></ul></ul>
  102. 102. Software <ul><li>Script kiddies </li><ul><li>fail2ban
  103. 103. sshguard
  104. 104. scponly
  105. 105. samhain
  106. 106. syslog </li></ul></ul>
  107. 107. Algo más <ul><li>Firewalls
  108. 108. Tcpwrappers
  109. 109. Backups
  110. 110. Ldap, radius, kerberos
  111. 111. Etc. </li></ul>
  112. 112. Gracias :D <ul><li>¿Dudas, comentarios, sugerencias? </li><ul><li>Blog: http://tuxtor.shekalug.org
  113. 113. Mail: [email_address] </li></ul><li>Esta licencia se encuentra bajo una licencia libre (GFDL v2) en </li><ul><li>http://tuxtor.shekalug.org/talks
  114. 114. Información: http://www.gnu.org/copyleft/fdl.html </li></ul></ul>

×