{"id":3094,"date":"2015-09-07T09:14:54","date_gmt":"2015-09-07T07:14:54","guid":{"rendered":"https:\/\/diocesanos.es\/blogs\/equipotic\/?p=3094"},"modified":"2015-09-01T00:59:14","modified_gmt":"2015-08-31T22:59:14","slug":"la-fundacion-linux-publica-un-checklist-de-seguridad-para-administradores-de-sistemas","status":"publish","type":"post","link":"https:\/\/diocesanos.es\/blogs\/equipotic\/2015\/09\/07\/la-fundacion-linux-publica-un-checklist-de-seguridad-para-administradores-de-sistemas\/","title":{"rendered":"La Fundaci\u00f3n Linux publica un checklist de seguridad para administradores de sistemas"},"content":{"rendered":"

La Fundaci\u00f3n \u0139inux ha publicado el conjunto de directrices que deben cumplir sus administradores de sistemas y empleados,<\/strong> para mantener la seguridad de su infraestructura y reducir los riesgos de un ataque.<\/p>\n

\"ataque-a-linux\"<\/a><\/p>\n

Son unos consejos de seguridad interesantes, que se pueden adaptar a las necesidades de diferentes proyectos a trav\u00e9s de su lista de verificaci\u00f3n que abarca varios niveles de seguridad<\/strong>: cr\u00edtico, moderado, bajo y paranoico (en este \u00faltimo caso, son recomendaciones que mejoran sustancialmente la seguridad, pero que tambi\u00e9n requieren un elevado trabajo de adaptaci\u00f3n a la hora de interactuar con el sistema operativo).<\/p>\n

<\/p>\n

En general se trata de buscar un equilibrio entre la seguridad y la facilidad de uso<\/strong>.<\/p>\n

Entre las recomendaciones nos encontramos las referidas a la elecci\u00f3n de hardware<\/strong>, en especial el soporte de SecureBoot<\/strong> y UEFI<\/strong> (algo que entrar\u00eda en la categor\u00eda de nivel cr\u00edtico), aunque tambi\u00e9n se tiene en consideraci\u00f3n la alternativa de Anti Evil Maid,<\/strong> una herramienta que impide que se carguen elementos no deseados (bootkit) durante el arranque.<\/p>\n

Tambi\u00e9n se sugiere el uso de sistemas que no contengan puertos Expresscard, firewire o conectores Thunderbolt<\/strong> para evitar el acceso a la memoria del sistema y con chip criptogr\u00e1fico TRM<\/strong> a poder ser.<\/p>\n

Se recomienda la elecci\u00f3n de distribuciones que tengan habilitado Mandatory Access Controls<\/strong> (MAC) o Role-Based Access Controls<\/strong> (RBAC), mecanismos que limitan la capacidad de los usuarios y establecen roles para acceder a determinadas partes del sistema o realizar determinadas acciones. Tambi\u00e9n el uso de suites de seguridad como AppArmor, SeLinux o GrSecurity\/Pax<\/strong> (el autor de este trabajo Konstantin Ryabitsev la considera superior a SeLinux).<\/p>\n

Hablando de distros se desaconsejan los spin-offs o variantes comunitarias<\/strong>, ya que es habitual que se retrasen las actualizaciones de seguridad respecto a la distro madre.<\/p>\n

El cifrado de disco completo mediante LUKS<\/strong> es otro de esos requisitos imprescindibles. Es imperativo un password o passphase lo suficientemente robusta y prestar especial atenci\u00f3n a la particion de intercambio (swap) que tambi\u00e9n debe ser cifrada, ya que pueden contener datos sensibles.<\/p>\n

La partici\u00f3n \/boot no es imperativo encriptarla<\/strong> (es posible\u2026 pero no se suele hacer para no complicar el arranque del sistema), y dado que no hay datos importantes en la misma , ese tema estar\u00eda cubierto por SecureBoot.<\/p>\n

Firefox<\/strong> es la opci\u00f3n recomendada<\/strong> para acceder exclusivamente a webs relacionadas con nuestro trabajo. Al navegador de Mozilla lo deben acompa\u00f1ar sus complementos NoScript, Privacy Badger, HTTPS EveryWhere y Certificate Patrol.<\/p>\n

A la hora de boludear o pasar el rato en otras webs,<\/strong> lo mejor es tirar de Chrome\/Chromium<\/strong>.<\/p>\n

Tambi\u00e9n se plantea el uso de maquinas virtuales para separar la actividad laboral de la personal<\/strong>, en especial se menciona el uso de Qubes<\/strong> para proveer ese aislamiento.<\/p>\n

Otras recomendaciones que nos podemos encontrar en este checklist, hacen referencia a la seguridad de los firewalls<\/strong>, a servicios como sshd<\/strong> que debe estar deshabilitados por defecto, utilizaci\u00f3n de gestores de contrase\u00f1as<\/strong> (KeePassX), cifrado GPG\/PGP<\/strong>, echar un vistazo a los logs, hacer backups<\/strong> utilizando sitios como spideroak (por aquello del \u201ccero conocimiento\u201d), la posibilidad de instalar un detector de rootkits como Rkhunter<\/strong>, o un sistema de detecci\u00f3n de intrusos tipo aide<\/strong> o tripwire<\/strong>.<\/p>\n

Si quer\u00e9is m\u00e1s informaci\u00f3n sobre como fortalecer la seguridad de vuestros sistemas o simplemente conocer las pol\u00edticas de IT de la Fundaci\u00f3n Linux<\/strong>, pod\u00e9is consultar el checklist completo en GitHub<\/a>.<\/p>\n

Fuente | Konstantin Ryabitsev <\/a>(Director of Collaborative IT Services at The Linux Foundation<\/em>)<\/p>\n

Art\u00edculo original en lamiradadelreplicante.com<\/a><\/strong><\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

La Fundaci\u00f3n \u0139inux ha publicado el conjunto de directrices que deben cumplir sus administradores de sistemas y empleados, para mantener la seguridad de su infraestructura y reducir los riesgos de un ataque. Son unos consejos de seguridad interesantes, que se pueden adaptar a las necesidades de diferentes proyectos a trav\u00e9s de su lista de verificaci\u00f3n … Seguir leyendo La Fundaci\u00f3n Linux publica un checklist de seguridad para administradores de sistemas<\/span> →<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15,5,47],"tags":[],"class_list":["post-3094","post","type-post","status-publish","format-standard","hentry","category-documentacion","category-linux-2","category-seguridad"],"_links":{"self":[{"href":"https:\/\/diocesanos.es\/blogs\/equipotic\/wp-json\/wp\/v2\/posts\/3094","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/diocesanos.es\/blogs\/equipotic\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/diocesanos.es\/blogs\/equipotic\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/diocesanos.es\/blogs\/equipotic\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/diocesanos.es\/blogs\/equipotic\/wp-json\/wp\/v2\/comments?post=3094"}],"version-history":[{"count":0,"href":"https:\/\/diocesanos.es\/blogs\/equipotic\/wp-json\/wp\/v2\/posts\/3094\/revisions"}],"wp:attachment":[{"href":"https:\/\/diocesanos.es\/blogs\/equipotic\/wp-json\/wp\/v2\/media?parent=3094"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/diocesanos.es\/blogs\/equipotic\/wp-json\/wp\/v2\/categories?post=3094"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/diocesanos.es\/blogs\/equipotic\/wp-json\/wp\/v2\/tags?post=3094"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}