B.2. Lista de chequeo de la configuración

Este apéndice reitera puntos de otras secciones de este manual condensando en un formato de lista de chequeo. El propósito es ser un resumen para quienes ya han leído el manual. También hay otras buenas listas de chequeo disponibles, Kurt Seifried tiene una configuración basada en un curso en http://seifried.org/security/os/linux/20020324-securing-linux-step-by-step.h tml.

ARREGLAME: esto es basado en v1.4 del manual, y podría necesitar actualizarse.

límitar la entrada para un acceso físico.
- Enable a password in the BIOS.
- Disable floppy/cdrom/... booting in the system's BIOS.
- enviar una contraseña LILO o GRUB (/etc/lilo.conf o /boot/grub/menu.lst, respectivamente); revisar que la configuración de los archivos LILO o GRUB sea de lectura-protegida.
partitura
- Separe los datos del suscriptor, no sistema de datos, y cambiar rápaidamente los datos del tiempo de recorrido de sus datos de particón.
- enviar nosuid,noexec,nodev montar opciones en /etc/fstab sobre la partición ext2 tal como /tmp.
Higiene de las contraseñas y aseguramiento a la entrada
- Defina una buena contraseña para el administrador
- Instale y use PAM
  Agregue MD5 para soportar PAM y asegúrese que: (en términos generales) las entradas en el archivo /etc/pam.d/ que permiten acceso a la máquina, tengan en el segundo campo del archivo pam.d definidoc com "requisite" o "required".
  Cambie /etc/pam.d/login para permitir solamente entradas locales al administrador.
  también marque las tty: atuorizadas en /etc/security/access.conf y generalmente configurar este archivo para limitar la entrada del administrador tanto como sea posible.
  Agregue pam_limits.so si usted desea habilitar límites para usuarios.
  Cambie /etc/pam.d/passwd: especifique un tamaño mínimo de contraseña.(podrían ser 6 caracteres) y habilite md5
  agregue un grupo wheel a /etc/group si desea, agregue pam_wheel. para entrar a /etc/pam.d/su
  para especificar controles por usuario iniciales, use pam_listfile cuando sea apropiado.
  tenga un archivo /etc/pam.d/othery montarlo con seguridad alta.
- ponga límites en /etc/security/limits.conf (note que /etc/limits no es usado si usted está utilizando PAM)
- Restrinja /etc/login.defs; también, si usted habilita MD5 y/o PAM, asegurese que usted hace los cambios carrespondientes ahí también.
- Tighten up /etc/pam.d/login
- inhabilite el acceso a root por ftp en /etc/ftpusers
- Disable network root login; use su(1) or sudo(1). (consider installing sudo)
- Use PAM para hacer cumplir las restrinciones adicionales sobre logins?
Otros asuntos de la seguridad local.
- Cambios de Kernel (ver kernel-conf)
- Parches del Kernel (ver kernel-patches)
- restrinja los permisos de los archivos de bitácora (/var/log/{last,fail}log, Apache logs)
- Verifique que la revisión de setuid está habilitada en /etc/checksecurity.conf
- Considere hacer algunos archivos log append-only y configurar archivos inmutables usando chattr (ext2 filesystems únicamente)
- Active integridad de archivos (vea check-integ). instale debsums
- Enviar bitácoras a una impresora local?
- Queme su configuración sobre un CD de arranque y e inicie la máquina desde este?
- incapacitar módulos del kernel?
Limite el acceso a la red
- Instale y configure ssh (se sugiere PermitRootLogin No /etc/ssh/sshd_config, PermitEmptyPasswords No; note que hay otras sugerencias en este texto)
- Disable or remove in.telnetd, if installed
- Generalmente, inhabilite los servicios gratuitos en /etc/inetd.conf usando update-inetd --disable (or inhabilite todo inetd, o use un reemplazo como xinetd or rlinetd)
- Disable other gratuitous network services; ftp, DNS, WWW etc should not be running if you do not need them and monitor them regularly. In most cases mail should be running but configured for local delivery only.
- Para los servicios que necesite, no use solamente los programas comunes, busque más versiones seguras enviadas por Debian (o busque otros recursos). Para cualquier servicio que usted termine usando, asegúrese de entender los riesgos.
- Monte celdas de directorio raíz distintos para usuarios externos y demonios.
- Configure firewall and tcpwrappers (i.e. hosts_access(5)); note trick for /etc/hosts.deny in text.
- si usted corre ftp, monte su servidor ftpd y siempre corra chrooted para el directorio raíz del usuario
- Si usted corre X, inhabilite la autenticación xhost y use ssh a cambio, mejor aún, inhabilite X remoto si usted puede (adicione -nolisten tcp a X desde la línea de comandos y apague XDMCP en /etc/X11/xdm/xdm-config configurando requestPort a 0)
- Inhabilite el acceso externo a impresoras.
- Use tunel para sesiones de IMAP o POP a través de SSL o ssh; instale stunnel si usted quiere proporcionar este servicio a usuarios de correo remoto
- Monte un loghost y configure otras máquinas para enviar logs a ésta (/etc/syslog.conf)
- asegure BIND, Sendmail, y otros demonios complejos (Configure una celda de cambio de directorio ; corra como non-root pseudo-user)
- Install tiger or a similar network intrusion detection tool.
- Install snort or a similar network intrusion detection tool.v
- Prescinda de NIS y RPC si usted puede (inhabilite portmap).
Políticas
- Eduque a los usuarios acerca de los porque y los como de sus políticas. Cuando usted ha prohibido algo que normalmente está disponible en otros sistemas, suministre documenteción que explique como conseguir resultados similares usando otros medios más seguros.
- Prohiba el uso de protocolos que usa claves en texto plano (telnet, rsh y friends; ftp, imap, http, ...).
- Prohiba programas comoVGAlib.
- Use quotas de disco.
manténegase informado sobre asuntos de seguridad
- Subscríbase a la lista de correo de seguridad
- Subscríbase a las actualizaciones de seguridad, adicione a /etc/apt/sources.list una entrada (o entradas) a http://security.debian.org/debian-security
- Además recuerde correr periódicamente apt-get update ; apt-get upgrade (tal vez instalar un cron job?) como se explicó en Sección 4.2, “Ejecute una actualización de seguridad”.