xpanel, lxde, linux, fbpanel opensuse, linux, instalacion gtk3, gnome, ambienti grafici PS3, mandos, Play Station, Linux edubuntu, ubuntu, linux fedora, linux, discapacitados visuales fuduntu, fedora, ubuntu, linux, distribuciones inkscape, grafica, linux, editor tux, tuz, iconos, mascota, linux artistx, distro, linux, artistas, graficos

Bastille-Linux o cómo mejorar la seguridad de nuestro sistema (1a parte): desactivación y restricción de servicios inútiles.

La ultima versión de Bastille-Linux, no es una nueva distribución Linux sino un conjunto de guiones para proteger mejor nuestro sistema contra potenciales vulnerabilidades. El enfoque de los autores es muy pedagógico y se puede aprender mucho durante el proceso de su instalación.

 

En cuanto a seguridad se refiere, Linux es mucho mejor que otros sistemas operativos.

 

Sin embargo, no todas las distribuciones son iguales con respecto a este tema. Bastille-Linux propone un conjunto de medidas a tomar para proteger nuestro sistema. Incialmente fue escrito para RedHat pero la última versión funciona también para otras distribuciones.

bastille logo

 

El proyecto es dirigido por Jon Lasser (coordinador principal) y Jay Beale (desarrollador principal). No obstante, existen numerosos desarrolladores, diseñadores de software y beta-testers involucrados.

 

Ante todo dejemos bien en claro que Bastille-Linux NO es una nueva distribución de Linux. Es un conjunto de guiones escritos en perl destinados a mejorar la seguridad de Linux.

El término seguridad se limita aquí al aspecto informático: cómo evitar que personas indeseables accedan a nuestra máquina. Bastille-Linux binda parte de la respuesta modificando la instalación inicial de las diferentes distribuciones de Linux.

 

Una tarea básica de todo administrador es de conocer las necesidades de sus usuarios no sólo para satisfacerlos sino también para evitar que se ejecuten programas en la red que no se usan pero que pueden tener vulnerabilidades peligrosas para ésta. Uno de mis mentores solía decir: cuanto menos puedas hacer, mejor ;-]. Si bien hablaba sobre complejidad algorítmica lo mismo es aplicable a la administración de redes: demasiado privilegios causan daño y crean nuevos ángulos de ataque. Para reducir las vulnerabilidades de un sistema es necesario instalar sólo lo que realmente se necesita.

Bastille-Linux intenta reducir las posibilidades de un ataque a una máquina Linux. Para alcanzar este objetivo, los diseñadores del programa han optado por un enfoque muy pedagógico: sugieren paso a paso qué hacer y explican el por qué.

 

Presentación.

Independientemente de su utilidad evidente, Bastille-Linux es estremadamente didáctico. Los guiones funcionan haciendo preguntas precisas. A menudo, en este tipo de enfoque las preguntas son tan incomprensibles como las respuestas y los usuarios no saben qué hacer. Aquí, en cambio, los desarrolladores tratan de educar al usuario. Explican no sólo el contexto de la pregunta, sino también las consecuencias de sus posibles respuestas. Esto hace de Bastille-Linux una herramienta fácil de usar.

Para usuarios más avanzados, el código fuente escrito en perl es un modelo de claridad (sí, es posible ;) : cada comentario describe en forma precisa las acciones que se toman.

 

Características.

  • Los guiones ahora funcionan en sistemas usados.
  • Existe una función undo: se hace una copia de respaldo de cada archivo modificado por Bastille-Linux de manera de poder restaurar las configuraciones inciales si fuese necesario
  • Al principio, Bastille-Linux estaba reservado para RedHat y Mandrake. Esto ya no continua siendo así. Actualmente, un módulo contiene las rutas de los archivos necesarios en función de la distribución sobre la que se ejecutan los guiones.
Bastille-Linux consta de diferentes módulos. Son cuatro módulos de propósito general y otros relacionados con propósitos más específicos (programas como sendmail, FTP, demonios de escaso uso, etc.)

 

Los módulos generales comprenden:

  1. Instalación de un cortafuegos (firewall)
  2. Actualización de los programas del sistema
  3. Auditoría de los programas SUID-root
  4. Desactivación y restricción de servicios inútiles.
Los otros módulos están vinculados con aspectos más específicos. Algunos se dedican a los agujeros de seguridad creados por programas mal configurados (por ejemplo, sendmail o FTP), otros modifican la configuración de algunos servicios de una manera menos permisiva (PAM, syslog, ...)

 

Algunas medidas de seguridad se superponen ofreciendo diferentes niveles de protección (esto es contrario a los principios de mi mentor pero alguna vez hay que emanciparse ;-) Hay que proteger cada servicio o cada vulnerabilidad potencial por intermedio de todos los medios posibles. De esta manera, si uno fracasa los restantes siguen protegiendo a nuestro sistema.

Instalación o "juguemos con los guiones mientras el lobo no está"

Las versiones previas de Bastille-Linux sólo funcionaban en sistemas nuevos lo cual no sigue siendo así. Sin embargo, cabe destacar que Bastille carece (casi) de utilidad en sistemas ya usados. De esta manera, se recomienda por cuestiones de seguridad instalar Bastille-Linux en sistemas recién instalados. Habiendo aclarado este punto podemos pasar a cuestiones más importantes: ¡la instalación!

 

Bastille-Linux está disponible como tarball .tgz en bastille-linux.sourceforge.net. Este archivo es de sólo 134 Kb. Una vez descargado se lo descomprime haciendo (tar xzf Bastille-1.1.0.tgz).

 

Cuatro guiones administran Bastille-Linux:

  • 1.- InteractiveBastille.pl: este guión formula al usuario diversas preguntas para definir las operaciones que se van a efectuar en el sistema. Al finalizar, crea un archivo config teniendo en cuenta las respuestas dadas.
  • 2.- AutomatedBastille.pl: instala la configuración por defecto dando la posibilidad de usar un cortafuegos a partir de un archivo de configuración suministrado. Cabe destacar que este guión ya no se sigue manteniendo.
  • 3.- BackEnd.pl: es el responsable de los cambios introducidos al sistema. Toma como parámetros las respuestas incialmente dadas
  • 4.- Undo.pl : cuando se ejecuta BackEnd.pl algunos archivos del sistema (/etc/syslog.conf,/etc/inetd.conf, /etc/hosts.*, ...) sufren modificaciones. Para permitir la recuperación del sistema inicial, las copias de respaldo se ubican en el directorio /root/Bastille/undo.
Para instalar Bastille-Linux hay que ser superusuario ya que los guiones modificarán los archivos de configuración. La instalación más habitual consiste en ejecutar primero el InteractiveBastille.pl. A continuación el usuario deberá responder una serie de preguntas (que serán analizadas en detalle más adelante). Por último se debe ejecutar el BackEnd.pl y ¡listo!. Un seguimiento de todos los cambios introducidos se puede encontrar en el directorio /root/Bastille/undo.

bastille

Si te ha gustado el artículo inscribete al feed clicando en la imagen más abajo para tenerte siempre actualizado sobre los nuevos contenidos del blog:

Espero que esta publicación te haya gustado. Si tienes alguna duda, consulta o quieras complementar este post, no dudes en escribir en la zona de comentarios. También puedes visitar Facebook, Twitter, Google +, Linkedin, Instagram, Pinterest y Feedly donde encontrarás información complementaria a este blog. COMPARTE EN!

0 comentarios:

Publicar un comentario

No insertes enlaces clicables, de lo contrario se eliminará el comentario. Si quieres ser advertido via email de los nuevos comentarios marca la casilla "Avisarme". Si te ayudé con la publicación o con las respuestas a los comentarios, compártelo en Facebook,Twitter o Instagram. Gracias.

Archivo