Sugerencias de seguridad en sistemas GNU/Linux

[info]Esto es una recopilación de normas de seguridad básicas para los administradores de sistemas, en este caso, para los que como yo administramos redes/sistemas basados en GNU/Linux… Pueden haber más y de hecho hay más, esto solo es una muestra de mis andanzas por el mundo linuxero…[/info]

0.1- Listas de correo de actualizaciones críticas [Slackware Security Advisor, Debian Security Advisor, en mi caso]0- Mantener actualizados nuestros sistemas con los últimos updates de seguridad.

1- Cero acceso físico a los servers por parte de personal no autorizado.

1.1- Aplicar password al BIOS de nuestros servers

1.2- No boot por CD/DVD

1.3- Password en el GRUB/Lilo

2- Buena política de passwords, caracteres alfanuméricos y otros.

2.1- Envejecimiento de los passwords[Password Aging] con el comando “chage”, así como número de días entre cambio de password y última fecha de cambio.

2.2- Evitar el uso de password anteriores:

en /etc/pam.d/common-password

password sufficient pam_unix.so use_auth ok md5 shadow remember 10

Así cambias el password y te recuerda los ultimos 10 passwords que tenía el usuario.

3- Buena política de gestión/segmentación de nuestra red[routers, switches, vlans] y firewall, así como reglas de filtrado INPUT, OUTPUT, FORWARD[NAT, SNAT,DNAT]

4- Habilitar el uso de shells[/etc/shells]. Los usuarios que no deban loguearse en el sistema les toca /bin/false o /bin/nologin.

5- Bloquear usuarios cuando el login falla[faillog], así como controlar la cuenta de usuario del sistema.

passwd -l pepe -> bloquear al usuario pepe
passwd -v pepe ->  desbloquear al usuario pepe

6- Habilitar el uso de “sudo”, NUNCA loguearnos como root por ssh, “NUNCA”. De hecho se debe editar la configuración de ssh para lograr este propósito. Use llaves públicas/privadas en sus servers con sudo.

7- Aplicar en nustros sistemas el “Principio del privilegio mínimo“.

8- Chequear nuestros servicios cada cierto tiempo[netstat -lptun], para cada uno de nuestros servers. Agregar herramientas de monitoreo que nos puedan ayudar en esta tarea[Nagios, Cacti, Munin, Monit, Ntop, Zabbix].

9- Instalar IDSs, Snort/AcidBase, Snotby, Barnyard, OSSEC.

10- Nmap es tu amigo, úsalo para verificar tu subred/subredes.

11- Buenas prácticas de seguridad en OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP[los que la mayoría usa] y algún que otro servicio que necesites en tu red.

12- Encriptar toda comunicación mientras sea posible en nuestros sistemas, SSL, gnuTLS, StarTTLS, digest, etc… Y si manejas información sensible, encripta tu disco duro!!!

13- Actualizar nuestros servidores de correo con las últimas reglas de seguridad, listas negras y antispam.

14- Logueo de actividad en nuestros sistemas con logwatch y logcheck.

15- Conocimiento y uso de herramientas como top, sar, vmstat, free, entre otras.

sar -> system activity report
vmstat -> procesos, memoria, systema, i/o, actividad del cpu, etc
iostat -> cpu i/o status
mpstat -> multiprocessor status and usage
pmap -> uso de memoria por los procesos
free -> memoria
iptraf ->  tráfico en tiempo real de nuestra red
ethstatus -> console-based ethernet statistics monitor
etherape -> graphical network monitor
ss -> socket status[tcp socket info, udp, raw sockets, DCCP Sockets]
tcpdump -> Análisis detallados de tráfico
vnstat -> network traffic monitor of selected interfaces
mtr -> herramienta de diagnóstico y análisis de sobrecarga en las redes
ethtool -> stats about network cards

Por ahora es todo. Sé que existen mil y una sugerencias de seguridad más en este tipo de entorno, pero, estas son las que más me han chocado de cerca, o que en algún momento he tenido que aplicar/ejercer en algún ambiente de los que he administrado.