Seguridad en Debian GNU/Linux

Este documento busca ser una checklist de las cosas que deben ser tenidas en cuenta a la hora de dar seguridad a un servidor (basado en sistema Debian).

• Habilitar clave en el BIOS
• Deshabilitar arranque de CD y DISQUETE
• Habilitar clave en LILO o GRUB (/etc/lilo.conf o /boot/grub/menu.lst, respectivamente); revisar que los archivos de configuracion de LILO o GRUB sean de solo lectura (chattr +i)

• Separar en sus propias particiones:
  • Datos escritos por usuarios
  • Datos que no son del sistema operativo
  • Datos que cambian rapidamente con el uso
• Configurar nosuid,noexec,nodev en las particiones que sea posible, como en /tmp

• Colocar una buena clave de root
• Ajustar /etc/pam.d/login para permitir acceso root solo local.
• Marcar tambien authorized tty:s en /etc/security/access.conf y tratar de limitar en este archivo los accesos de root lo más posible.
• Usar pam_limits.so si se desean limitar los accesos por usuario.
• Ajustar /etc/pam.d/passwd: configurar minimo tamaño de claves (6 caracteres) y habiltiar md5 (ya viene por defecto en Linux nuevos)
• Agregar un grupo wheel a /etc/group si se desea; agregar pam_wheel.so group=wheel al archivo /etc/pam.d/su
• Para tener control por usuario, usar el módulo pam_listfile.so donde sea apropiado.
• Tener un archivo /etc/pam.d/other y configurarlo con las opciones de seguridad por defecto.
• Configurar límites en /etc/security/limits.conf
• Revisar /etc/login.defs; también.

• Diabilitar acceso remoto root en /etc/ftpusers
• Instalar y configurar sudo para tareas de root.
  • Configurar /etc/sudoers

• Mantener el kernel al día
• Revisar los permisos de los archivos de logs (/var/log/{last,fail}log, Apache logs, etc)
• Instalar y configurar checksecurity y verificar que la revisación de setuid está habilitada en /etc/checksecurity.conf
• Considerar si algunos archivos de log deben ser solamente de append y algunos archivos de configuración inmutables usando chattr.
• Instalar alguna herramienta de chequeo de integridad: (sXid, AIDE (Advanced Intrusion Detection Environment), TripWire, integrit o samhain.
• Instalar debsums
• Considerar remplazar locate con slocate
• Analizar de armar un servidor de syslog e inclusive los logs críticos logearlos en una impresora.

• Instalar y configurar servidor openssh con:
  • PermitRootLogin No
  • PermitEmptyPasswords No
• Deshabilitar y remover in.telnetd (no viene por defecto)
• Deshabilitar servicios en /etc/inetd.conf (usando update-inetd –disable o deshabilitando todo inetd, o usando remplazo como ser xinetd o rlinetd)
• Deshabilitar cualquier otro servicio de red que no sea necesario, revisar puertos abiertos con netstat -atup
• Para los servicios que son necesarios verifique de correr versiones seguras (las puertas abiertas son eso!).
• Colocar en jaulas chrrot los usuarios externos y los daemons.
• Configurar firewall y tcpwrappers (p.ej: hosts_access); revisando /etc/hosts.deny
• Si corre ftp, configurar para que el servidor siempre esté enjaulado en el home del usuario.
• Si corre ssh para usuarios remotos, considerar scponly.
• Si se corre X, deshabilitar xhost authentication y acceder por ssh para acceso X. Deshabilitar acceso X remoto (agregar -nolisten tcp en la linea de comando de X para apagar XDMCP en /etc/X11/xdm/xdm-config configurarndo requestPort en 0)
• Verificar que no tenga servicios de impresion levantados, si no se necesitan. Deshabilitar acceso remoto a impresoras.
• Asegurar protocolos IMAP y POP mediante SSL o con tuneles ssh o zebedee.
• Asegurar BIND, Postfix y otros servicios complejos (si es posible colocándolos en una jaula, o verificar que tengan un usuario propio. Así vienen por defecto)
• Instalar snort o una herramienta similar de análisis
• Evitar NIS y RPC si se puede (disabilitar portmap).

• Educatr a los usuarios sobre las políticas de seguridad. Cuando se prohibe algo que está disponible en otros sistemas entregar documentación de fundamento de las mejoras en seguridad.
• Prohibir el uso de protocolos con claves en texto claro (telnet, rsh, ftp, imap, http, etc.)
• Usar quotas de disco.

Mas información sobre seguridad en Securing Debian Manual