Seguridad en Sistemas Operativos

Seguridad en Sistemas
Operativos
Criptografía y Seguridad en Redes de
Comunicaciones
Profesor: Álvaro Alesanco Iglesias (revisado 05-05-2010)
1
Objetivos
Se plantea en esta práctica atacar algunos de los conceptos básicos de seguridad en la
configuración de un Sistema Operativo. Se emplearán como ejemplo los SO Windows
XP y Linux CentOS 5.4 de forma indistinta para ofrecer una perspectiva amplia de la
seguridad y hacerla independiente del SO elegido.
Trabajo a realizar
La práctica está dividida en dos partes: SO Windows y SO Linux. Cada una de las partes
tiene diferentes secciones en las que se deberá realizar un pequeño trabajo de
configuración. Cada sección empieza explicando de manera más o menos genérica un
punto que hay que tener en cuenta a la hora de securizar el SO. Después, en un recuadro,
se explica el trabajo que se ha de realizar.
Además del trabajo de configuración, será necesario entregar una hoja de
comprobaciones o “checklist” que permita a un administrador (en este caso, al propio
alumno) verificar las comprobaciones realizadas para securizar cada uno de los dos SO.
Dicha “checklist” debería ocupar un espacio reducido (tiene que ser una lista de
comprobación, no un resumen de la práctica), y debe enviarse por email al profesor con
formato .pdf
2
1. Securización de un equipo con SO Windows XP
El proceso de bastionado o securización de un equipo con Windows XP sigue los pasos
que se describen a continuación. El orden en el que se presentan los pasos no es de
obligado cumplimiento, pero al estar clasificados por prioridades es recomendable que se
siga dicho orden.
1.0. Configuración inicial: DHCP
Antes de pasar a securizar el SO propiamente dicho, habrá que asignar una dirección IP
al SO para que tenga conexión al exterior. En lugar de asignar una dirección estática,
vamos a hacerlo de forma dinámica ya que el laboratorio dispone de un servidor DHCP
dispuesto a tal efecto. Para ello, vamos a Inicio  Panel de control  Conexiones de red
 Botón derecho en el interfaz deseado  Propiedades  Protocolo Internet
(TCP/IP)  Propiedades  Automático (todo). Una vez hecho esto, el SO le pedirá
una dirección IP (así como el resto de configuración necesaria para funcionar, como el
router por defecto, y los DNS) y ya tendremos acceso al exterior.
1.1. Aplicación de parches y actualizaciones
Microsoft ofrece de forma habitual parches para corregir los fallos más frecuentes de sus
sistemas. De forma periódica agrupa dichos parches en lo que se denomina un Service
Pack o Paquete de Servicio, para facilitar la aplicación de los mismos. El Service Pack
más actualizado puede encontrarse en :
http://windowsupdate.microsoft.com/
o accediendo a “Inicio  Todos los programas  Windows Update”
El Service Pack se aplica de forma automática seleccionándolo de la lista de parches a
instalar. Es necesario reiniciar el equipo después de la aplicación de un Service Pack
Se deberá aplicar en primera instancia el último Service Pack disponible (el último
engloba los anteriores de forma automática evitando tener que instalarlos en cascada).
Será necesario a continuación instalar los últimos parches emitidos, ya que no están
incluidos en el propio Service Pack. Dichos parches pueden descargarse desde la URL
arriba mencionada.
Dicha operación se pone en primer lugar ya que es la más importante a la hora de
bastionar un equipo con SO Windows, pero en realidad es la última operación que
debería realizarse antes de poner el equipo en producción, ya que debe realizarse con
todos los programas y servicios instalados (si se aplicara nada más instalar Windows y a
continuación se instalara un IIS, éste no quedaría protegido por los cambios realizados
por el Service Pack).
3
A partir de Windows XP Service Pack 1, es posible configurar las actualizaciones
automáticas en los equipos, accediendo a “Inicio  Panel de Control  Actualizaciones
automáticas” (en la propia instalación de XP dan la opción de dejarlo por defecto
activado).
Microsoft ofrece también otra capacidad de actualización denominada “Microsoft
Update”, que actualiza además del SO los paquetes de programas más comunes (Office,
Windows Media Player):
http://update.microsoft.com/microsoftupdate
Respecto a los parches del SO (Windows update), ¿qué sería lo más urgente
instalar? (sólo toma nota, NO INSTALES)
1.2. Desactivación de servicios no utilizados
Para obtener una mayor seguridad y un empleo más eficaz de los recursos del sistema,
todos los servicios que no se utilicen deberán ser deshabilitados. Se presenta una lista de
servicios a mantener en un equipo Windows que no tiene conexión a una red Windows:
Actualizaciones automáticas.
Notificación de sucesos del sistema
Administrador de cuentas de
seguridad
Plug and Play
Cliente DNS
Registro de sucesos
Cliente DHCP (solo en el caso de
emplear un módem).
Servicios de cifrado
Conexiones de red
Servicios de Terminal Server
Iniciador de procesos DCOM
Servicios IPSEC
COM+ Event System.
Servidor
Llamada a procedimiento remoto
Sistema de sucesos COM+
Tabla 1. Ejemplo de algunos servicios activos en un XP
Se puede encontrar más información acerca de lo que hace cada servicio de Windows XP
en la “Windows XP Security Guide” de la NSA (ver enlaces Tema S2) y en
http://www.jasonn.com/turning_off_unnecessary_services_on_windows_xp
Esta lista de servicios es inicial, ya que a medida que se vayan instalando programas y
herramientas de seguridad irá aumentando.
Para deshabilitar un servicio se deberá acceder al panel de servicios del sistema mediante
“Inicio  Panel de Control  Herramientas Administrativas  Servicios”.
4
Ilustración 1: Panel de servicios existentes
Pulsando sobre el botón derecho sobre el servicio accederemos a sus propiedades, y
podremos seleccionar el modo de arranque, así como iniciarlo o detenerlo. Se
deshabilitará el servicio seleccionando la opción Deshabilitado para que de esta forma no
se inicie al arrancar Windows, y se detendrá pulsando en el botón Detener.
Ilustración 2: Deshabilitar un servicio
Deshabilita alguno de los servicios que no aparezcan en la tabla 1. No sólo se han
de deshabilitar sino también parar para que ahora dejen de funcionar
1.3. Deshabilitacion del protocolo NetBIOS sobre TCP/IP
En el caso de que el equipo no vaya a ser emplazado dentro de una red Windows, es muy
recomendable deshabilitar la capacidad de Windows de hablar el protocolo NetBIOS (el
empleado para crear redes Windows, e inseguro de raíz ) sobre redes TCP/IP.
5
Para ello se accederá a Inicio  Panel de Control  Conexiones de Red  Conexiones de Area
Local . Dentro de los interfaces que aparecen se seleccionará el de TCP/IP (casi siempre
el último), y se accederá al botón de Propiedades.
Ilustración 3: Selección del componente TCP/IP
Una vez dentro del menú se seleccionará la opción de Advanced, y dentro del menú
resultante el submenú WINS. En dicho submenú seleccionaremos la casilla Disable
NetBios over TCP/IP, como se ve en la Ilustración 4.
Ilustración 4: Deshabilitación de NetBIOS sobre TCP/IP
Una ver realizados estos cambios no deberían verse activos los puertos 137 y 139,
responsables de NetBIOS bajo TCP/IP (puede verse lanzando un CMD y ejecutando
“netstat –an | more”.
Antes de deshabilitar NetBIOS, comprueba que los puertos 139, 137 y 138 están
abiertos. ¿A qué protocolo están asociados? Una vez comprobado, deshabilita
NetBIOS. Vuelve a comprobar los puertos. Si todo ha ido bien, ahora no deberían
aparecer en la lista.
6
1.4.
Gestión de cuentas de usuario
Para acceder a la interfaz encargada de la gestión de las cuentas de usuario del equipo se
deberá lanzar la herramienta de Administración del Equipo mediante Inicio  Panel de
Control  Herramientas Administrativas  Administración del equipo. Se seleccionará
a continuación dentro de la herramienta el menú de Usuarios locales y grupos.
Ilustración 5: Gestión de cuentas de usuario
Se deberán eliminar o deshabilitar todas aquellas cuentas que no tengan un uso específico
en el sistema (sobre todo la cuenta de Invitado ). Se recomienda a su vez la creación de
una segunda cuenta con privilegios de Administrador sobre el equipo y su utilización
habitual en lugar de la original (para de esta forma poder distinguir intentos de acceso a
dicha cuenta).
A continuación se generarán los grupos de usuarios y las cuentas definidas al inicio de la
instalación. Todas las cuentas se pondrán con una contraseña diferente y se obligará al
usuario a cambiarla la primera vez que se autentique ante el equipo.
Borra las cuentas que no veas necesarias y crea una, llamada criptosec, con
permisos de administrador y login y password. Si no puedes hacerlo porque falla
algo, modifica lo que creas conveniente para llevar a cabo la tarea.
1.5.
Activación de mecanismos de log del sistema
Aunque el propio Windows XP mantiene unos ciertos logs del sistema, es recomendable
habilitar una serie de mecanismos de registro adicionales, que permitan tener un control
más granular sobre los sucesos del sistema. Para acceder a dicha configuración se deberá
lanzar la herramienta Directiva de Seguridad Local, disponible en Inicio  Panel de Control 
Herramientas Administrativas, bajo el submenú Directivas locales  Directivas de auditoria.
7
Ilustración 6: Control de los items de log del sistema.
Se recomienda configurar los permisos como se indica en la ilustración (los no
habilitados son a causa de la gran cantidad de registros que pueden generar).
Activa los logs tal y como se indica en la ilustración 6. Cambia de usuario y entra
en el sistema como criptosec. Una vez dentro, sal cerrando sesión y vuelve a
entrar como práctica. A continuación revisa los logs que se han generado (para
ver los logs, se ha de ir al visor de sucesos que se encuentra en herramientas
administrativas).
1.6.
Políticas de seguridad genéricas
Las políticas de seguridad son un conjunto de medidas destinadas a garantizar un elevado
nivel de seguridad dentro del equipo y agrupadas por grupos de objetivos comunes.
Dichas políticas son accesibles de forma parcial desde la herramienta de Directivas de
Seguridad Local, accesible a través de Inicio  Panel de Control  Herramientas
Administrativas  Directivas de Seguridad Local. Son especialmente interesantes las Directivas
de Cuenta y las Directivas Locales.
Ilustración 7: Políticas de Seguridad Locales
8
Deberán revisarse todas las opciones existentes en dichos submenús (sobre todo respecto
a las referentes a gestión de contraseñas y asignación de permisos base).
Haz que la cuenta de criptosec se bloquee después de 3 intentos y restablecerla
después de 2 minutos. Comprueba cómo realmente se bloquea.
a en este apartado.
1.7.
Deshabilitar Lan Manager / Habilitar NTLMv2
El protocolo LAN Manager es altamente vulnerable a ataques de intercepción y fuerza
bruta, por lo que su uso únicamente está justificado en redes heterogéneas en las que se
deban conectar equipos Windows 95 y 98. En redes puramente con Windows 2000 y XP
(Windows NT también lo soporta con el SP4 o superior) se recomienda encarecidamente
el emplear NTLMv2, que es mucho más robusto.
Para deshabilitar el LAN Manager y habilitar NTLMv2 se deberán acceder a la Directiva de
Seguridad Local  Directivas Locales  Opciones de Seguridad, y cambiar los siguientes valores
:
-
Seguridad de Redes : Nivel de autenticación de LAN Manager  Enviar solo
respuesta NTLMv2 / Rechazar LM.
-
Seguridad de Redes : Seguridad mínima de sesión para (Clientes | Servidores) 
Marcar las cuatro opciones.
Desactiva LAN Manager y habilita NTLMv2, tal y como se explica en este punto.
1.8.
Permisos del sistema de ficheros
Dado que el sistema de ficheros NTFS permite el establecer ACLs (Access Control Lists
o Listas de Control de Acceso), será recomendable que se establezcan los controles
necesarios para que cada usuario solo pueda acceder a la información que le sea
necesaria.
Es posible crear una ACL sobre una carpeta o fichero pulsando con el botón derecho y
accediendo a “Propiedades  Seguridad” (requiere que la partición sea NTFS, no
funcionará sobre particiones FAT o FAT32).
Inicialmente no se encuentra habilitada la vista de la pestaña de seguridad, por lo que lo
deberemos hacer si queremos utilizar estas funcionalidades. Para ello, en el menú
herramientas de una ventana de archivos cualquiera  Herramientas  opciones de
carpeta  Ver  Utilizar uso compartido simple de archivos  deseleccionar
Habilitar la edición de permisos de ficheros para poder utilizarla.
9
1.9.
Protección de ciertos comandos del sistema
La penetración de un intruso en un sistema viene dada en gran parte de los casos por el
aprovechamiento de una vulnerabilidad combinado con el uso de comandos del sistema
(cmd.exe para lanzar un shell con privilegios, tftp.exe para cargar ficheros en el equipo,
etc...).
Se recomienda eliminar los permisos de ejecución de dichos archivos, y activarlos
únicamente cuando sea necesario emplear la herramienta. En el caso de que sean
comandos de gran utilización, se plantea el realizar una copia fuera del PATH habitual, y
emplearlo de esta forma. Algunos de los comandos que pueden resultar peligrosos en
manos de un intruso pueden ser:
arp.exe
net.exe
regedit.exe
at.exe
netstat.exe
syskey.exe
cacls.exe
ping.exe
telnet.exe
cmd.exe
rcp.exe
tftp.exe
ftp.exe
rdisk.exe
tracert.exe
Tabla 2: Comandos de Windows 2000 a proteger
Quita los permisos de ejecución en los comandos arp.exe y at.exe y comprueba
que sucede ahora cuando los intentas ejecutar desde línea de comandos.
1.10. Gestión segura del equipo
Se proponen (aunque fuera del entorno de esta práctica) los siguientes medios para la
gestión segura de un equipo Windows

Terminal Services: Sólo para Windows 2000 Server, Windows XP y Windows
2003. El sistema nativo de Windows, que incluye cifrado de la conexión.

OpenSSH : Válido para todos los SO Windows, y de código abierto. No ofrece
entorno gráfico, pero ofrece la posibilidad de copia segura de ficheros.

Remote Administrator (comercial) : Válido para todos los SO Windows (no
tienen porqué ser XP o de la gama de servidores).

PCAnywhere (comercial) : Válido para todos los SO Windows
1.11. Activación de visualización avanzada
Una de las formas que tienen los virus para infectar un equipo es aprovecharse de la
“doble extensión”. Un atacante coge un fichero .exe , lo renombra a .jpg.exe , y le cambia
el icono por el de la extensión .jpg. Dado que Windows por defecto oculta la extensión
10
de los ficheros, el usuario recibirá un fichero con nombre “foto.jpg” (que en realidad será
“foto.jpg.exe”), confiando en dicho fichero e infectando el equipo.
Para protegernos de este tipo de ataques es posible dentro del Explorador de Windows
desactivar esta capacidad accediendo a “Herramientas  Opciones de Carpeta  Ver”, y
desactivando la opción de “Ocultar las extensiones de archivo para tipos de archivo
conocidos”.
En ese mismo menú, se recomienda desmarcar las opciones de “Ocultar archivos protegidos
del sistema” y marcar la de “Mostrar todos los archivos y carpetas ocultos”. De esta forma
limitaremos la capacidad de “esconderse” de posible código malicioso.
Activa la visualización avanzada.
1.12. Activación del Salvapantallas
En el caso de que el equipo sea accesible desde un teclado y pantalla, será necesario
instalar un salvapantallas y activar la opción de protección por contraseña. De esta forma,
pasado un tiempo de inactividad se bloqueará la sesión de forma automática.
El salvapantallas puede activarse pulsando sobre la pantalla con el botón derecho y
accediendo al menú de Properties  Screensaver.
Ilustración 10: Activación del salvapantallas
Activa el salvapantallas.
11
Instalación del resto de aplicaciones
1.13.
En este punto se procederá a la instalación del resto de aplicaciones y servicios que se
desea que ofrezca el equipo, cuidando en todo momento su correcta instalación y
configuración (sobre todo en el caso del IIS ).
Se vuelve a recordar la necesidad vital de aplicar el Service Pack junto con todos los
últimos parches de forma previa a la puesta en producción del equipo (más de un
programa o servicio tiene parches propios que no serán instalados hasta que no se instala
dicho servicio).
Se recomienda la instalación de los siguientes programas (o equivalentes) :
1.
2.
3.
4.
5.
6.
7.
8.
9.
Cortafuegos ( ZoneAlarm o Agnitum Oupost, por ejemplo).
Antivirus (el que se desee).
Ad-Aware (anti-spyware).
HijackThis (Analizador del arranque de Windows).
Pstools (analizadores de procesos).
Process Explorer (alternativa al Administrador de Tareas).
Fport (asocia programas a puertos abiertos.
FileMon (monitoriza el acceso a programas).
RegMon (monitoriza el acceso al registro de Windows).
12
2. Securización de un equipo con CentOS 5.4
Una vez instalado el Sistema Operativo de forma segura, es necesario realizar una serie
de operaciones destinadas a la securización del mismo. En un principio el orden de
realización de las mismas es indiferente, aunque se recomienda seguir el indicado ya que
prioriza las tareas más importantes.
2.1. Instalación de parches y actualizaciones
Toda pieza de software esta sujeta a la existencia de posibles fallos de programación o
bugs. Algunos de ellos son únicamente molestos, pero otros pueden conllevar graves
riesgos de seguridad para nuestro sistema.
Es totalmente imprescindible tener el sistema actualizado con los últimos parches de
seguridad. Dichos paquetes pueden ser descargados desde:
http://ftp.gui.uva.es/sites/centos.org/5.4/updates/SRPMS/
aunque cada version de Linux tendrá su diferente URL.
CentOS provee una herramienta para la automatización de la instalación de parches y
software denominada yum. Gracias a yum, actualizar el SO es tan sencillo como :
# yum update
Este comando lanzará el sistema de actualización y descargará los paquetes necesarios
para actualizar el sistema. Otras versiones de Linux tienen otros comandos (apt-get ,
up2date, etc … ), pero la filosofía es la misma. Es posible ejecutar yum de forma
automatizada (viene por defecto) para que se ejecute cada noche y actualice el equipo.
Yum tiene un interface gráfico, YumEx, que permite hacer aún más fácil las tareas de
instalación y actualización de software (que puede instalarse con “yum install yumex”).
No hace falta hacer nada en este apartado.
2.2. Creación de cuenta adicional de root
Es altamente recomendable generar una segunda cuenta con permisos de superusuario en
el sistema. De esta forma se mantiene una cuenta de seguridad en el caso de pérdida de la
original (olvido de la contraseña, compromiso de la cuenta, etc ... ).
Esta cuenta debería ser la usada en las tareas de administración habituales del equipo, ya
que de esta forma cualquier intento de acceso a la cuenta de root podrá ser detectado
fácilmente como un intento de intrusión.
13
Puede crearse una cuenta adicional con permisos de superusuario con los siguientes
comandos :
[root@localhost root]# useradd admin -g 0 -u 0 -o
[root@localhost root]# passwd admin
Changing password for user admin.
New password: *********
Retype new password: *********
passwd: all authentication tokens updated successfully.
[root@localhost root]#
Crear una nueva cuenta de superusuario tal y como se indica anteriormente
2.3. Deshabilitación de servicios no deseados
Uno de los primeros aspectos a tener en cuenta en la securización de un equipo consiste
en la eliminación de los servicios no deseados. Se puede afirmar que un equipo que no
ofrece servicios a la red hace prácticamente imposible que pueda ser atacado, por lo que
la minimización de dichos servicios incrementa directamente la seguridad del equipo.
Los servicios y procesos activos en el sistema pueden ser vistos con los siguientes
comandos :
•
netstat –an : Muestra tanto los puertos abiertos del sistema como las conexiones
que está realizando.
•
ps –ef | more : Muestra los procesos activos en el sistema.
•
lsof | grep LISTEN : Muestra los procesos que mantienen conexiones activas en
el sistema (de gran utilidad para averiguar qué proceso tiene abierto un puerto).
Puede encontrarse una lista con los servicios disponibles en el directorio
/etc/rc.d/init.d/. En una instalación personalizada de Linux, los servicios básicos activos
necesarios son los siguientes (luego tendremos que añadir yum y sshd como básicos) :
crond
network
random
syslog
Deberán desactivarse el resto de servicios activos en el sistema esta operación puede
realizarse mediante la herramienta setup de CentOS (accediendo al menú System Services
) , o de forma genérica accediendo al directorio con los servicios de arranque del sistema
( /etc/rc.d/rc3.d/ o /etc/rc.d/rc5.d/ , en función de si el arranque se realiza en modo
texto o en modo gráfico, cosa que se puede comprobar con el comando runlevel). Dentro
de dicho directorio se encuentran los distintos servicios disponibles en el arranque (véase
Ilustración 1).
14
Ilustración 1: Servicios disponibles en el arranque
Los servicios que empiezan por una “S” se iniciarán cuando se arranque el equipo,
mientras que los que comienzan por una “K” serán desactivados. El número que se
encuentra después de la inicial indica el orden por el que se inician o paran (muy
importante a la hora de encender o apagar servicios que dependan de otros).
Siguiendo estos pasos, la próxima vez que se arranque el equipo se iniciarán únicamente
los servicios establecidos. Si se desea parar un servicio sin tener que reiniciar el equipo,
puede hacerse invocando el script de control, situado en /etc/rc3.d/init.d/ . Por
ejemplo, para parar los servicios de red ejecutaremos:
/etc/rc3.d/init.d/network stop
Una vez reiniciado el equipo, si se han desactivado todos los servicios superfluos no se
debería tener ningún puerto abierto en el equipo ( premisa básica para establecer un
perímetro de seguridad ).
Identifica el runlevel y deshabilita los servicios snmpd y sendmail.
2.4. Eliminación de usuarios y grupos no necesarios
Como ya se ha comentado, la información referente a los usuarios y grupos del sistema
se encuentra recogida en los ficheros /etc/passwd y /etc/group. Para facilitar la gestión
de los mismos, se recomienda eliminar todos los usuarios y grupos que no se consideren
necesarios para el correcto funcionamiento del equipo.
Los siguientes usuarios y grupos no son necesarios en un sistema Linux:
Usuarios
Adm
lp
Grupos
Adm
Lp
15
Sync
Shutdown
Halt
News
Uucp
Operator
games
News
Uucp
Games
Dip
Pppusers
Popusers
slipusers
Dichos usuarios y grupos pueden ser eliminados del sistema mediante los comandos
userdel y groupdel. Se verificará a continuación el borrado correcto de los usuarios
visualizando los ficheros correspondientes. [Nota: Estos usuarios pueden variar en
función de la distribución de Linux empleada, por lo que se deberá tomar como bueno el
principio de “dejamos solo los usuarios que sirvan para algo”, y aplicarlo en
consecuencia)].
Para deshabilitar temporalmente una cuenta, podemos hacerlo modificando el fichero
/etc/passwd
admin:x:0:0::/home/admin:/bin/bash
En lugar de x, poned * y la cuenta se deshabilitará.
Elimina los usuarios que no son necesarios en un sistema Linux. Deshabilita la
cuenta de admin que has creado en el punto 2.2 y comprueba que está
deshabilitada. Después, habilítala otra vez.
2.5. Protección de GRUB
La seguridad física es un factor muy importante para nuestro sistema. Si un intruso logra
situarse delante de nuestro equipo y reiniciarlo, cuando obtenga el prompt del GRUB,
tan solo tiene que seguir estos pasos:
1) Seleccionar el kernel con el que se quiere arrancar y pulsar “e” para editar el
arranque.
2) Seleccionar la línea que contiene el kernel entre las que se ofrecen y volver a
pulsar “e” para editarla.
3) Ir al final de la línea y añadir la palabra “single” (con un espacio delante) y pulsar
“Enter” para volver al menú anterior.
4) Pulsar “b” (boot) para arrancar con este kernel.
Con estas órdenes logrará arrancar el equipo en modo monousuario, y obtendrá un shell
de superusuario sin tener que introducir contraseña alguna, vulnerando de forma limpia y
totalmente sencilla nuestro sistema (si el gestor fuera LILO es todavía más sencillo ya que
únicamente hay que teclear “Linux single” en el arranque).
Para proteger el gestor de arranque, podemos crear una contraseña para GRUB con el
comando:
# grub-md5-crypt
16
Password:<ENTER-YOUR-PASSWORD>
Retype password:<ENTER-YOUR-PASSWORD>
$1$NYoR71$Sgv6pxQ6LG4GXpfihIJyL0
La última línea es el hash md5 de la contraseña introducida. Tendremos que copiarla e
insertarla en el fichero /boot/grub/menu.lst de la forma siguiente:
default=0
timeout=10
password --md5 $1$NYoR71$Sgv6pxQ6LG4GXpfihIJyL0
splashimage=(hd0,0)/grub/splash.xpm.gz
title Fedora Core (2.6.10-1.14_FC2smp)
root (hd0,0)
kernel /vmlinuz-2.6.10-1.14_FC2smp ro root=/dev/md2 rhgb quiet
initrd /initrd-2.6.10-1.14_FC2smp.img
De esta forma, cada vez que se quiera editar la secuencia de arranque será necesario
introducir la contraseña especificada.
Estas medidas tendrán que ser complementadas con la modificación de la configuración
de la BIOS para que únicamente pueda arrancarse desde el disco duro del sistema (si
cualquier usuario o intruso puede arrancar desde un CDROM o disquete, la situación
vuelve a la inseguridad inicial).
Reinicia el SO y cambia la contraseña tal y como aquí se explica. Para que no
tengas que preguntarla en la siguiente sesión, la nueva contraseña de root será
qwerty. Establece una contraseña para el GRUB (tambien qwerty) y comprueba
que ya no puedes cambiar el inicio si no introduces la contraseña.
2.6. Instalar OpenSSH ( Secure Shell )
En la mayoría de los casos será necesario disponer de un medio de administración
remota de los equipos (por estar los mismos en otra localización física, por no tener
monitores por razones de espacio, etc ...). Es necesario disponer de un medio de
administración que nos ofrezca unas garantías de seguridad suficientes.
El medio de administración más empleado en la antigüedad es telnet, que tiene graves
problemas de seguridad, ya que no cifra ni la información de autenticación (el nombre de
usuario y la contraseña) ni la comunicación en sí misma, además de ser vulnerable a
ataques de secuestro o hijacking de la conexión. La alternativa a telnet es el OpenSSH (
Secure Shell ).
OpenSSH es la herramienta a emplear para administrar de forma remota equipos Unix /
Linux con seguridad. OpenSSH cifra tanto la información de autenticación (el nombre de
usuario y la contraseña) como el tráfico de la sesión. De forma añadida, permite
establecer autenticación mediante clave pública además de mediante contraseña, lo que
añade un nivel extra de seguridad al sistema.
17
OpenSSH incluye también un servicio de copiado de ficheros de forma segura
denominado scp, que permite realizar transferencia de ficheros entre dos equipos
ofreciendo confidencialidad, autenticidad e integridad de la información transmitida, así
como un sustituto seguro de los comando “r” de Unix.
OpenSSH viene instalado por defecto con cualquier instalación de Linux (si no está
instalado, puede ejecutarse “yum –y install openshh-server” o descargando el código fuente de
la web de OpenSSH).
Se puede verificar el correcto funcionamiento con : ssh –l root localhost
Llegados a este punto tenemos el servicio SSH activo y funcionando de forma correcta.
Sin embargo, es recomendable modificar la configuración tanto del cliente como del
servidor para optimizar la seguridad del mismo. Los ficheros de configuración del SSH
son los siguientes :
•
•
/etc/ssh/ssh_config (configuración del cliente).
/etc/ssh/sshd_config (configuración del demonio).
Valores interesantes ssh_config :
•
Las opciones son autoexplicativas: Es MUY importante asegurar que no se ha
activado la compatibilidad con la versión 1 del ssh o ssh1 (que tiene graves fallos
de seguridad).
Valores interesantes sshd_config:
•
Allowed Authentications: Permite la autenticación por distintos medios
(password y/o clave público).
•
Required Authentications: Exige los niveles de autenticación especificados.
Otra de las características sumamente útiles del SSH es la posibilidad de copiar ficheros
entre dos máquina de forma segura, todo ello integrado dentro del protocolo. Dicha
capacidad puede ser utilizada dentro de un shell script para realizar copias de seguridad
de forma segura a través de Internet. Ejemplos de uso de scp2 pueden ser:
•
scp [email protected]:prueba.txt ./  Copia el fichero de la máquina remota a
la local.
•
scp ./prueba.txt [email protected]:  Copia el fichero a la máquina remota
desde la máquina local.
Como ya se ha podido ver con anterioridad, SSH soporta varios métodos de
autenticación, siendo el de clave pública uno de los más empleados gracias a las
posibilidades de administración que facilita. Mediante el uso de clave pública es posible:
•
Aumentar la seguridad de la comunicación al exigir dos factores (contraseña de
usuario más contraseña de la clave privada y su tenencia).
18
•
Realizar tareas desatendidas de administración sin tener que poner contraseñas en
los scripts (realizando la autenticación únicamente mediante tenencia de la clave
privada).
Otra de las capacidades interesantes del SSH es la de redirigir o “tunelizar” sesiones X a
través de una conexión cifrada, ofreciendo seguridad a toda la comunicación. Para ello
será necesario habilitar en el servidor la opción de AllowX11Forwarding (viene habilitada
por defecto).
Será necesario habilitar a su vez dicha opción en el cliente. Se ofrecen las configuraciones
para varios clientes de SSH:
•
SecureCrt : se tendrá que habilitar esta opción accediendo (con una sesión SSH
ya abierta) a Option  Session Options  Connection  Advanced  Port
Forwarding  Forward X11 Packets.
•
Putty : Se tendrá que acceder a Connection  SSH  Auth  Enable X11
Forwarding
•
SSH : Se deberá eliminar el comentario de la línea “X11Forwarding
yes” en el fichero /etc/ssh/sshd_config.
Como nota de carácter informativo, el SSH intercambia las claves con el cliente cada
hora, acción no soportada por muchos clientes de SSH para Windows (el SecureCRT o el
Putty, por ejemplo), lo que provoca una desconexión. Para desactivar esta funcionalidad
de reintercambio de claves debemos modificar el valor de RekeyIntervalSeconds de 3600
a 0 en el fichero /etc/sshd_config.
No hace falta hacer nada en este apartado.
2.7. Registro de accesos o logging
Los registros de actividad o logs de un sistema son una parte fundamental para la
seguridad del mismo, ya que permiten detectar posibles irregularidades en el
funcionamiento del mismo, así como responder con rapidez a posibles intentos de
intrusión.
La tarea de recopilar la información de lo que ocurre en el sistema se encarga al demonio
syslogd, y los elementos de los que recoge información se encuentran descritos en el
fichero /etc/syslog.conf.
Fedora Core 6 recopila la información necesaria del sistema desde un punto de vista de
seguridad (accesos al sistema, mensajes de error, etc ... ). Sin embargo, se pueden realizar
varias recomendaciones de seguridad:
•
Establecer permisos de lectura para los directorios de logs: No es necesario que el
resto de usuarios pueda leer ( y mucho menos modificar ) los logs del sistema. Se
deberá modificar el conjunto de permisos de la forma siguiente:
[root@fenix log]# chmod -R 600 *
19
•
Enviar la información de log a otro equipo: Es posible hacer que Linux envie la
información recogida a un equipo remoto, haciendo mucho más difícil su
modificación (un intruso que desee modificar los logs tendrá que hacerlo en la
máquina inicial, percatarse de la existencia de la máquina secundaria, y atacar esta de
forma exitosa).
Para activar esta capacidad de logging remoto será necesario modificar ambos
ficheros de configuración del syslog (en el cliente y en el servidor). En el equipo cliente
se deberá añadir una línea por cada item que se quiera transferir al equipo remoto,
por ejemplo:
# The authpriv file has restricted access.
authpriv.*
/var/log/secure
authpriv.*
@192.168.18.4
En el equipo remoto deberá indicarse al demonio syslogd que esté a la escucha de
entregas de información de log (el syslogd siempre envía la información de log al
puerto 514 UDP de la máquina destino ). Para ello se deberá modificar el fichero
/etc/sysconfig/syslog de la forma siguiente:
SYSLOGD_OPTIONS="-r -m 0 “
Se deberá reiniciar el demonio syslogd para que los cambios surtan efecto.
De la misma forma, es recomendable el uso de algún programa de análisis de log
automatizado, como pueden ser:
Logwatch: http://www.logwatch.org/tabs/download/ (por defecto en FC6)
Swatch : http://www.oit.ucsb.edu/~eta/swatch/
Echa un vistazo al fichero /var/log/messages. ¿Qué tipo de logs se almacenan
aquí según en fichero de configuración?
2.8. Bastille
Bastille es una potente herramienta de seguridad del entorno Linux dirigida
principalmente a la distribución Red Hat. constituyendo una herramienta ideal para una
securización rápida de un sistema (y ofreciendo soporte para otros sistemas, Fedora Core
entre ellos).
Pueden obtenerse las instrucciones de descarga e instalación de Bastille Linux desde:
http://www.bastille-linux.org/running_bastille_on.htm
Una vez instalado, el comando bastille nos mostrará el entorno gráfico de Bastille, a través
del cual y de forma sencilla se podrán realizar diversas modificaciones de seguridad a
nuestro sistema operativo.
20
Gran parte de dichas modificaciones se cubren en este capítulo, por lo que se preferirá
usar el Bastille una vez estudiadas en profundidad (y sin recurrir a una herramienta tan
específica). Uno de los usos más frecuentes del Bastille es la creación de una plantilla de
seguridad, que pueda ser aplicada de forma automatizada a un gran numero de equipos
(Bastille permite grabar la configuración de seguridad a aplicar en un fichero).
[Nota: Bastille no está todavía preparado para funcionar correctamente para FC6, por lo
que dará un error al inicio. Sin embargo, cambiando el fichero /etc/redhat-release y
substituyendo en la línea de versión el 6 por un 5 “engañaremos” lo suficiente al
programa como para poder ejecutarlo].
Este punto es meramente informativo, por lo que no hay que realizar ninguna
experiencia.
2.9. Programas SUID / SGID
En algunas ocasiones, algunos programas necesitan de permisos de superusuario para
realizar algunas de sus funciones. Para permitir el funcionamiento de estos programas se
desarrolló un sistema de adopción de privilegios que se denomina SUID (si es un usuario
lo que se adopta) o SGID (si es un grupo). Un ejemplo de estos programas es el
comando passwd, que permite a los usuarios cambiar su contraseña (y que actúa sobre el
fichero /etc/shadow, accesible solo a root ). Un programa SUID/SGID puede
reconocerse por la letra “s” en su listado de permisos:
-r-s--x--x
1 root
root
15104 mar 14 01:44 /usr/bin/passwd
El problema existente con los programas SUID/SGID radica en su programación. Dado
que estos programas tienen acceso a permisos de superusuario, un fallo en su
programación puede provocar que sean usados de forma perniciosa, permitiendo a un
intruso ganar privilegios en el sistema. Este problema es aun más grave en el uso de shell
scripts, ya que suelen estar programados de forma “casera” y pueden tener fácilmente
problemas de seguridad.
Se deberán buscar todos los programas que tengan estos bits activados, y determinar su
utilidad, pudiéndose para eso emplear los siguientes comandos:
[root@fenix root]# find / -perm /u+s –print > suid.txt
[root@fenix root]# find / -perm /g+s –print > sgid.txt
En caso de no considerarse necesario que los usuarios tengan acceso a dichos programas,
se deberá eliminar el bit “s” mediante el comando chmod. Un ejemplo sobre el comando
ping puede ser:
[root@fenix root]# chmod -s /bin/ping
Busca los progranas con el bit s activo tal y como se explica anteriormente.
Quitar el bit s del ping.
21
2.10. Permisos en sistemas de ficheros
Un directorio o un fichero con permisos de escritura para todos los usuarios puede ser
un problema de seguridad grave, ya que permite a un posible intruso tanto modificar
dichos ficheros como borrar y añadir ficheros a un directorio con total impunidad
(pudiendo colocar programas de hacking o simplemente, pornografía o warez ).
Se recomienda buscar dichos directorios y ficheros, y proceder a la modificación de sus
permisos o a su eliminación. Esta operación puede realizarse con los siguientes
comandos:
[root@fenix root]# find -perm /g+w -print
[root@fenix root]# find -perm /o+w -print
Para cambiar los permisos de dichos ficheros, se emplea el comando chmod:
[root@fenix root]# chmod 744 prueba
[root@fenix root]# chmod 755 prueba
[root@fenix root]# chmod 700 prueba
(permisos totales al creador, de lectura para el resto
de usuarios).
(permisos totales al creador, lectura y ejecución al
resto).
(permisos totales al creador, sin acceso para el resto
de usuarios).
Los directorios temporales como /tmp tienen activada una característica que se
denomina sticky bit ( “bit pegajoso” ), que hace que solo los propietarios de los ficheros
puedan eliminar o crear dichos ficheros en el directorio.
También es recomendable actuar sobre el directorio que contiene todos los scripts
arranque del sistema, /etc/rc.d/init.d. De forma inicial, el directorio tiene permisos
lectura para todos los usuarios, lo que puede resultar en un riesgo de seguridad
tenemos scripts personalizados que puedan tener contraseñas, por ejemplo,
simplemente por ocultar qué es lo que se arranca en nuestro equipo).
de
de
(si
o
Se recomienda el cambiar los permisos de dicho directorio para que no sean de lectura
mediante el comando chmod:
[root@fenix rc2.d]# chmod 700 /etc/rc.d/init.d/*
De la misma forma, se recomienda asegurar que todos los ficheros creados por root (y
por el resto de usuarios) tengan una configuración de seguridad inicial que no de
permisos al resto de usuarios mediante la modificación de la máscara de permisos inicial
o umask. Para ello deberá añadirse la siguiente línea a los ficheros /etc/profile ,
/etc/csh.login , /etc/csh.cshrc y /etc/bashrc:
umask 022
Busca los ficheros con permisos de escritura, tal y como se explica anteriormente.
Cambia los permisos de /etc/rc.d/init.d tal y como se explica. ¿Qué es lo que
haría un umask 077? (http://es.wikipedia.org/wiki/Umask)
22
2.11. Activar políticas de contraseñas
Se deberán activar las políticas de contraseñas pertinentes para proteger el sistema. Los
parámetros más frecuentes (longitud de contraseñas, expiración de contraseña, mínimo
número de días entre cambios de contraseñas), se encuentran en el fichero
/etc/login.defs. Los parámetros recomendados son los siguientes:
PASS_MAX_DAYS 60
PASS_MIN_DAYS 1
PASS_MIN_LEN 8
PASS_WARN_AGE 7
Modifica el fichero según se indica en este punto.
2.12. Banner de inicio al sistema
Cuando se entra a un sistema mediante un login estándar o mediante un acceso vía telnet
o ssh , suele aparecer una cierta información de entrada al sistema, como puede ser la
versión del sistema operativo o la serie del kernel empleada.
De la misma forma, es recomendable incluir un aviso legal a la entrada del sistema que
avise de la propiedad privada del mismo.
Para ello, se deberán modificar los ficheros /etc/motd o /etc/issue (en función del
Linux empleado), introduciendo el mensaje que se estime oportuno.
Modifica los ficheros poniendo lo que creas oportuno. Comprueba que funciona
haciendo un ssh a otra máquina Fedora.
2.13.
Montado seguro de particiones
Linux ofrece diversas opciones de protección adicional para las particiones de un equipo,
que pueden ser aprovechadas para aumentar la seguridad del sistema. Dichas opciones
son las siguientes:
•
•
•
nosuid : Impide por defecto la ejecución con privilegios adicionales de los
programas con bits SUID/SGID.
noexec : Impide la ejecución de programas ejecutables en la partición.
ro: Hace que todos los ficheros de la partición sean de solo lectura
Se recomienda el uso de estas opciones con precaución. Para activar dichas características
se tendrá que modificar el fichero /etc/fstab y añadir las opciones necesarias. Un
ejemplo puede ser el siguiente:
23
/dev/sda3 /tmp ext2 defaults,rw,nosuid,nodev,noexec 1 2
/dev/sda4 /home ext2 defaults,ro,nosuid,noexec 1 2
En este punto no hace falta realizar nada.
2.14. Deshabilitar Ctrl + Alt + Supr
Linux viene con la capacidad de reiniciar el sistema “al estilo Windows” pulsando de
forma simultánea la combinación de teclas “Ctrl + Alt + Supr “, aun sin tener iniciada
ninguna sesión de usuario (permitiendo realizar un ataque contra el LILO, o simplemente
disrumpiendo el funcionamiento del equipo).
Para desactivar esta capacidad, se deberá acceder al fichero /etc/inittab, y comentar la
siguiente línea con un símbolo “#”:
# ca::ctrlaltdel:/sbin/shutdown -t3 -r now
Será necesario a continuación indicar al demonio init que relea su configuración mediante
el comando:
[root@fenix root]# /sbin/init q
Deshabilita ctrl.+Alt+Supr tal como se explica en este punto.
2.15. Protección del protocolo TCP/IP
Existen varias formas de aumentar la resistencia del equipo ante ataques basados en el
protocolo TCP/IP (sobre todo en lo referente a ataques de denegación de servicio o
DoS). Todas ellas se basan en la activación de ciertas medidas de seguridad en el fichero
/etc/sysctl.conf, que estudiamos a continuación :
Evitar que el equipo actúe como router :
net.ipv4.ip_forward = 0
Habilitar protección contra IP spoofing:
net.ipv4.conf.all.rp_filter = 1
Evitar que el equipo acepte icmp redirects
net.ipv4.conf.all.accept_redirects = 0
Habilitar protección TCP SYN:
net.ipv4.tcp_syncookies = 1
Modifica el fichero tal y como se explica en este punto.
24
2.16. Limitar el acceso a programas instaladores
Dentro del equipo existen una serie de programas que pueden permitirnos la instalación
sencilla de nuevo software en el mismo. Estos programas instaladores pueden ser usados
por un posible intruso para instalar programas perniciosos para nuestro sistema, por lo
que se recomienda que, una vez instalado todo el software que necesite el equipo para
funcionar, se pongan fuera del alcance de los usuarios.
Es necesario afirmar que esta medida simplemente nos hará ganar tiempo, ya que es
posible descargar binarios directamente en el equipo, o descargar los mismos programas
de instalación). Las dos opciones más recomendadas pueden ser mover el programa
instalador a un disquete, y copiarlo al equipo cada vez que se quiera realizar una
instalación, o simplemente cifrarlo en el propio disco con el GnuPG.
Los programas más empleados, y que por tanto deberían ser protegidos, son gcc, yum y
rpm, situados en:
/bin/rpm
/usr/bin/gcc
/usr/bin/yum
En este punto no hace falta hacer nada.
2.17. Limitar el uso de recursos del sistema
Como medida adicional antes ataques de DoS o denegación de servicio, es recomendable
limitar el acceso a los recursos del sistema por parte de los distintos procesos que se
ejecutan en el mismo. Este control se realiza a través del fichero
/etc/security/limits.conf. Nos interesa limitar en primer lugar el número de procesos y la
cantidad de memoria asignada a cada usuario, siendo para ello añadir las siguientes líneas.
* hard nproc 20
* hard rss 5000
La primera línea limita el número de procesos disponibles para cada usuario a 20 (así se
evita que un usuario malicioso lance procesos de forma indiscriminada, agotando la
capacidad del sistema). La segunda línea especifica la cantidad de memoria máxima que
debería estar a disposición de un usuario, que solo debería aplicarse a equipos dedicados
a trabajo multiusuario (en equipos servidores, esta línea limitaría enormemente la
capacidad de trabajo de los servicios ofrecidos, y debería cambiarse a un límite similar a
100000 ).
Otra forma de ataque de DoS realizable es mediante la generación de volcados de
memoria o cores. Dichos ficheros suelen ocupar un espacio considerable en el disco
25
duro, por lo que pueden saturar con facilidad el espacio, pudiendo disrumpir la actividad
del equipo. De forma añadida, estos volcados de memoria pueden ser analizados por un
intruso para extraer información sensible (por ejemplo, contraseñas que se hayan
quedado almacenadas en la memoria del equipo).
Se recomienda eliminar la capacidad de generar ficheros core añadiendo la siguiente línea
al fichero /etc/limits.conf/
* hard core 0
Edita el archivo de configuración y haz lo que se indica en este punto.
2.18. sudo
La administración de un equipo informático suele recaer en manos de una sola persona,
o de un grupo de administradores en el caso de una red amplia de equipos. Sin embargo,
puede ser necesario en algunos casos que usuarios del sistema deban tener acceso a
comandos o ficheros limitados únicamente al superusuario.
En lugar de ofrecer acceso total a los poderes de root, o de facilitar la contraseña del
mismo (ambas opciones no son recomendables en absoluto desde una perspectiva de
seguridad), se puede recurrir a la herramienta SUDO para ofrecer dicho acceso limitado y
controlado.
SUDO viene controlado por su fichero de configuración /etc/sudores, que debe ser
modificado con el comando /usr/sbin/visudo. La sintaxis más frecuente es la siguiente:
User1 ALL=(ALL) ALL
Esta orden da al usuario user1 el poder de ejecutar cualquier comando como si fuera
root.
User1 ALL= /bin/halt,/bin/ping
Esta orden permite al usuario user1 ejecutar únicamente los comandos halt y ping.
Se recomienda encarecidamente guardar un log estricto de todos los accesos al comando
sudo (para poder controlar de esta forma quién ha realizado qué operaciones). Para ello
se activará la siguiente línea:
Defaults logfile=/var/log/sudolog
Modifica el fichero para que se hagan logs.
26
2.19. Chroot
Una estrategia de seguridad bastante empleada en la actualidad consiste en la aplicación
del comando chroot ( change root o cambio de raíz). La correcta aplicación de este
comando genera un subsistema de ficheros en el directorio especificado, de forma que
dicho directorio es visto por el usuario como el raiz ( “ / “ ) del sistema.
Con el chroot se consigue “encerrar” al usuario dentro de un entorno totalmente
controlado, evitando que pueda causar daños al sistema. Es necesario afirmar que esta
estrategia no es de aplicación trivial (suele dar más problemas de implementación que
beneficios de seguridad) , por lo que se suele usar únicamente en sistemas de muy alta
seguridad.
En este punto no hace falta hacer nada.
27