Curso Seguridad Ubuntu

5/11/2018 Curso Seguridad Ubuntu - slidepdf.com

http://slidepdf.com/reader/full/curso-seguridad-ubuntu 1/15

Seguridad en GNU/Linux

Ubuntu Server 8.10Instructor:

CLP Edwind García

[email protected]



Contenido

Instalacion de Ubuntu Server 8.10

Seguridad en Gestor de Arranque (GRUB)

Politicas de Contraseñas

Apache con Seguridad SSL

VPN's en GNU/Linux Construir Firewalls con IPTABLES

Secure Shell - OpenSSH



Asegurando GRUB

GRUB es el gestor de arranque actualmentemas difundido en Distribuciones de GNU/Linux

Aunque grub nos permite iniciar varios

sistemas operativos, por defecto nos permitemodificar los parametros de arranque delkernel de Linux

Para evitar cambios no autorizados en lasconfiguraciones del gestor de arranques se lepuede asignar una contraseña.



Asignar Contraseña a GRUB

1.Se debe ejecutar la instruccion ”grub” comousuario root: $ sudo grub

2.Se cifra la contraseña en MD5:

grub > md5crypt 3.Se escribe la contraseña a cifrar y nos las

entrega por pantalla. Ejemplo:Encrypted: $1$ex6y3/$QqSRkesVmgunFbW1o7QGv0

4.Editamos el archivo /boot/grub/menu.lst

5.Agregamos la linea:password --md5 [clave cifrada]



Asegurando GRUB

6.Tambien debemos bloquear el acceso a modosingle user , para eso añadimos la linea:lockalternative=true

7.Guardamos los cambios realizados yprocedemos a actualizar GRUB:$ sudo update-grub

8.Es recomendable cambiarle los permisos amenu.lst de forma tal que solo el superusuariotenga acceso:$ sudo chmod 700 /boot/grub/menu.lst




Las politicas de contraseñas son necesariaspara reducir riesgos de seguridad.

Se recomienda el cambio periodico de lascontraseñas por parte de los usuarios.

Ninguna cuenta del sistema debe poseer

passwords en blanco, ya que eso pone enriesgo la seguridad.




Para verificar si hay cuenta sin contraseñaejecutamos: $ grep -v ':x:' /etc/passwd

Para configurar las opciones generales para el

cambio de contraseña editamos el archivo /etc/login.defs

Los parámetros que podemos modificar son lossiguientes: PASS_MAX_DAYS

PASS_MIN_DAYS

PASS_WARN_AGE




Tambien es recomendable que el sistemaalmacene n cantidad de contraseñas yautilizadas.

Es importante que se valide la robustez de lacontraseña utilizada.

Para mejorar la gestion de seguridad encontraseñas podemos instalar cracklib.$ sudo aptitude install libpam-cracklib$ sudo update-cracklib



Configuraciones de CrackLib

Debemos editar el archivo: /etc/pam.d/common-password

Debe quedar de la siguiente forma:

password required pam_cracklib.so retry=3 \ minlen=8 dfork=1 lcredit=0 ucredit=1 \ dcredit=1 ocredit=2

password requisite pam_unix.so use_authtok \ obscure md5 remember=12




En el ejemplo anterior se hace lo siguiente:

Longitud minima de contraseña de 8 caracteres

Al menos un caracter debe ser diferente alpassword anterior.

El parametro obscure obliga a las siguientesvalidaciones adicionales:

Que no sea demasiado simple Que sea una version similar al password anterior

(mayusculas, minusculas, letras rotadas, o clave ala inversa)




El parametro remember=12, permite que serecuerden las ultimas 12 contraseñas utilizadaspor el usuario.

Existen otras alternativas a cracklib, como por ejemplo libpam-passwdqc, aunque es masconfigurable es menos utilizada hoy en dia.



Verificar estado de Usuarios

Para verificar la informacion del estado de cadausuario a nivel de contraseñas utilizamos elsiguiente comando:

# chage -l nombreusuario

Para los usuarios ya creados podemos

modificar esos valores con ese mismocomando.



Gestion de Acceso

Despues de 3 intentos fallidos esrecomendable bloquear la cuenta del usuariopara los siguientes 30 segundos.

Para realizar esta configuracion se utiliza elmodulo 'pam-tally' editando el archivo'/etc/pam.d/common-auth'



Gestion de Acceso

Contenido de /etc/pam.d/common.auth

auth required pam_tally.so onerr=succeed \ deny=3 unlock_time=30 per_user

auth sufficient pam_unix.so

auth required pam_deny.so

account required pam_tally.so \ onerr=succeed



Documents

Curso Seguridad Ubuntu