Вы находитесь на странице: 1из 3

En primer lugar voy a realizar el bastionado del servidor.

El supuesto dice que va ser un servidor que va a alojar una pagina web, la cual va a tener muchas visitas diarias. Por lo tanto, en mi opinin se debera usar un servidor con un sistema operativo Linux.!

1) Instalacin bsica! En primer lugar, partimos del hecho de que hay que instalar todo desde cero. El entorno ideal sera instalar el SO desde DVD sin que est conectado a la red. En lo relativo al particionado, se deben realizar las particiones correctas, en este caso al tratarse de un servidor web, podra ser / boot, raiz(/), /usr, /home, /var y SWAP. Se debe realizar una instalacin del sistema base, sin seleccionar ningn grupo de paquetes durante la instalacin, e instalar a posteriori los paquetes requeridos. De esta forma evitamos que se instalen programas, libreras o extensiones que no hagan falta. Hay que asegurar que se cumplen los requisitos de la poltica de contraseas de la organizacin a n de dicultar ataques de prediccin, diccionario y fuerza bruta.!

! ! !

2) Proteccin de la red! En cuanto a la seguridad de la red, habr que minimizar los protocolos utilizados, las direcciones de red a las que escucha el servidor y los puertos en los que escucha el servidor. Linux permite su conguracin mediante parmetros de control del sistema (sysctl). Se utilizarn algunos de ellos para proteger al sistema ante situaciones que introducen riesgo en las comunicaciones.! 3) Vericar los permisos de los archivos importantes! Hay que vericar los permisos de los archivos: passwd, shadow, group y gshadow utilizando los mas restrictivos posibles.! 4) Control de acceso! Impedir el inicio de sesin al usuario root tanto en local como en remoto. La limitacin del uso del comando su. La conguracin de sudo para mejorar el auditado del acceso como root. Que cada administrador tenga su usuario y no lo comparta nunca. Reemplazar el algoritmo MD5 por SHA512 para los hashes de las contraseas Impedir el uso de contraseas antiguas y realizar varias comprobaciones para asegurar que la nueva contrasea diverge suciente de la antigua (pam_unix). Utilizar el protocolo SSH correctamente congurado!

! ! !

5) Mantener el sistema actualizado! Hay que asegurar que los servidores cumplen con la poltica de aplicacin de actualizaciones de la compaa. Es muy importante tener tanto el sistema operativo actualizado como el software de ste.! 6) Deshabilitar los dispositivos innecesarios! Si existen dispositivos que no van a ser utilizados la mejor opcin es desactivarlos para prevenir posibles errores en sus mdulos, tambin hay que desactivar el soporte a medios extrables (usb, rewire). Para ello se deben desactivar los dispositivos innecesarios impidiendo la carga de su mdulo por parte del SO.! 7) Deshabilitar servicios innecesarios! La mayora de instalaciones tendrn servicios instalados que no sean necesarios, esto se debe a que se adaptan a un pblico genrico, pero si el servidor cumple una funcin especca no los necesitar. Tambin podemos encontrar servidores antiguos que tengan instalados servicios obsoletos y cuyo uso es totalmente desaconsejable. Hay que localizar todos los servicios que existen en el servidor y eliminar los que no necesitemos, en caso de duda no hay que eliminar el servicio. Algunos servicios que no deben existir en ningn caso son rlogin, rsh, rexec, rcp. Usar ssh en su lugar.!

8) Desactivar el bit SUID y SGID en el mximo de programas.! El uso de estos permisos es tan necesario como potencialmente peligroso, as que hay que buscar los binarios que existen en el sistema con este bit establecido y eliminarlo de todos los que sea posible.!

9) Asegurar la mquina fsicamente.! Para reducir la capacidad de accin en el caso de conseguir acceso fsico al servidor se debe: Desactivar el arranque desde cualquier dispositivo excepto el disco duro que contiene el SO. Establecer una contrasea para acceder a la BIOS Proteger el gestor de arranque GRUB mediante contrasea.! Deshabilitar el arranque interactivo en el caso de que la distribucin lo soporte.! En caso de que el servidor disponga de ILO o similar hay que congurarla en una VLAN propia que se utilice exclusivamente para gestin, si no se va a utilizar la ILO hay que desactivarla desde la BIOS.!

10) SELinux y Apparmor! Tanto SELinux como Apparmor mejoran la seguridad de Linux implementando control de acceso obligatorio (MAC) limitando de esta manera el poder del usuario root y mejorando el detalle de los privilegios que se le pueden asignar a los procesos. Las distribuciones basadas en RedHat tienen SELinux congurado y activado por defecto, mientras que Ubuntu tiene Apparmor. No se deben desactivar estos sistemas de seguridad.!

! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! !

! Bastionado equipo de escritorio! ! !

Primero que nada siempre se recomienda usar un usuario con privilegios limitados para nuestras tareas cotidianas y ejecutar como administrador aplicaciones que requieran permisos de administrador.! Habilitar el rewall.! Habilitar actualizaciones de Windows.! En propiedades del sistema Avanzado Rendimiento Conguracion Data execution Prevention Turn on para todos los programas.! Deshabilitar escritorio remoto.! En propiedades del sistema Escritorio remoto Desactivar permitir asistencia remota a este equipo.! En control de cuentas y familia segura Cambiar conguracin del control de cuentas. Cambiar a siempre noticarme.! Deshabilitar servicios innecesarios.! Deshabilitar el Check Deshabilitar NetBios over TCP/IP.! TCP/IP NetBIOS Helper.! Computer Browser.! Remote Registry.! HomeGroupProvider.! HomeGroupListener.! Desactivar el autoplay en panel de control hardware y soni.do.! Desinstalar los programas innecesarios! Ejecutar el Limpiador de disco, a n de liberar archivos temporales innecesarios, mejoras el rendimiento y aumentas el tamao disponible en disco duro.! Eliminar usuarios innecesarios.! Deshabilitar usuarios como el invitado o guest.! Establecer polticas de usuario.! Proteger el protector de pantalla con clave.! Antivirus actualizado.! Copias de seguridad.! Deshabilitar protocolos innecesarios.! Ejecutar aplicaciones de deteccin de vulnerabilidades.!