4 pasos para un Ubuntu mas seguro.

lockIconSSLSorprendentemente,muchos de los usuarios de Ubuntu dejan de tomar las medidas básicas para asegurar su instalación,incluso cuando algunos saben como lograrlo.Afortunadamente,la lista de cambios críticos no es muy larga. Estos sencillos cambios pueden ayudarlo a crear un Ubuntu aùn mas seguro aunque las debilidades sean pocas.El motivo principal de este mini-howto es modificar algunas configuraciones por defecto con el fin de proteger aùn mas nuestro sistema.

Reconfigurar la memoria compartida:

Por defecto, /dev/shm está montado con permisos de lectura/escritura,y ejecuciòn de programas.En los últimos años,muchas listas de correo de seguridad han tomado nota de una gran cantidad de exploits donde /dev/shm es utilizado para atacar un servicio en ejecución,tales como httpd.La mayoría de estos exploits,sin embargo,se basan en una aplicación web de inseguridad en lugar de una vulnerabilidad en Apache o Ubuntu.Existen pocas razones para que /dev/shm sea montado con estos permisos (lectura/escritura) en determinadas configuraciones,una de ellas,serìa,por ejemplo: para la configuración en tiempo real de un synaptics touchpad en ordenadores portátiles,pero para servidores de escritorio e instalaciones no tenemos ningún beneficio al montar /dev/shm con dichos permisos.Para cambiar esta configuración,debemos editar el archivo /etc/fstab:
sudo gedit /etc/fstab
agrgamos la siguiente linea (code)
tmpfs /dev/shm tmpfs defaults,ro 0 0
Esto montarà /dev/shm en modo lectura.Si tienes una buena razón para mantener el modo de escritura,entonces ponemos esta linea en lugar de la anterior:
tmpfs /dev/shm tmpfs defaults,noexec,nosuid 0 0
Esto montarà /dev/shm en modo de escritura,pero sin permisos para ejecutar programas y negarà tambien los permisos para cambiar el UID de los programas en ejecución.

Los cambios tendrán efecto la próxima vez que ud reinicie su sistema,al menos que usted remonte /dev/shm con el comando siguiente:
sudo mount -o remount /dev/shm.

Desactivar SSH root login:

De forma predeterminada,SSH daemon ships con acceso remoto a root se encuentra habilitado. Normalmente Ubuntu no permite el acceso directo a la raíz del usuario,así que este ajuste no es importante,al menos que ud haya configurado una contraseña en la cuenta de root,entonces esta opción puede ser un riesgo potencial para la seguridad,y debe ser deshabilitada.Para deshabilitar el acceso a root,editar el archivo /etc/ssh/sshd_config,siguiendo los pasos a continuaciòn:
Gnome(Alt+F2)
gksudo gedit /etc/ssh/sshd_config
Kde(Alt+F2)
kdesu kate /etc/ssh/sshd_config
Cambiar la linea siguiente
PermitRootLogin yes
por
PermitRootLogin no

Limitar el acceso a ‘su’:

Esto no es necesariamente un problema por sí solo,pero si hay cuentas con contraseñas débiles en el sistema,un non-admin user malicioso (o un software malicioso) tal vez puedan usar ‘su’ para acceder a esas cuentas.Para negarle el acceso a non-admin users a su sistema,en un terminal:
sudo chown root:admin /bin/su
sudo chmod 4750 /bin/su

Proteger el directorio (home):

Para finalizar con los cambios basicos,se recomienda,proteger sus documentos personales,ubicados en su directorio ‘home’.Existen varias maneras de lograrlo,una de ellas serìa cambiar los permisos via Nautilus,como tambien utizando el comando siguiente.Se recomienda leer el manual chmod (man chmod).No alterar la configuraciòn si no sabe lo que hace!
chmod 0700 /home/username

End

Sources + more info: [Eng]
StricterDefaults
itsecurity.com

About these ads

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s