Seguridad en Ubuntu (I) - Introduccin

Uno de los temas que ms preocupa a los recin llegados a Ubuntu es la seguridad (especialmente si vienen de Windows). Sin embargo la mayora traen ideas preconcebidas errneas y mitos ms basados en las pelculas de hackers que en la realidad. Por ese motivo voy a dedicar una serie de artculos a dar un repaso general a todos los niveles de seguridad de Ubuntu, aclarando dudas, desmitificando bulos y dando informacin extra para los que quieran profundizar en el tema. El presente artculo es una gua y un ndice de lo que ir publicando en prximos artculos.

Falsos mitos sobre seguridad

1. Ubuntu (y GNU/Linux en general) son sistemas seguros y no debo preocuparme por la seguridad: FALSO La seguridad depende del sistema que se use, pero tambin de las opciones de configuracin y del nivel de conocimientos del administrador. 2. Con un buen firewall estoy 100% seguro: FALSO El firewall o cortafuegos es slo uno de los elementos que determinan la seguridad de un sistema, pero hay muchos ms. 3. Solamente yo uso mi ordenador, no necesito una clave de usuario: FALSO 4. Es mejor trabajar con root porque as no hay problemas de permisos: FALSO La nica finalidad del usuario root es administrar el sistema, en ningn caso debe ejercer las funciones de usuario. Adems usar root cuando no se debe suele provocar problemas de permisos en las aplicaciones. 5. Necesito activar la cuenta root en Ubuntu para realizar la tarea "x": FALSO En Ubuntu el usuario root nunca debe acceder al sistema. Para eso se usa sudo. 6. Los virus de Windows pueden afectarme en Ubuntu: FALSO 7. Ningn virus de Windows (al menos hasta la fecha) afecta a GNU/Linux. Si bien es cierto que se ha informado de ciertos casos de malware ejecutndose a travs de wine.

Usuarios y claves

Las cuentas de usuario aseguran la privacidad de la informacin, el correcto reparto de privilegios en el sistema y minimizan los efectos en caso de un fallo de la seguridad. Un buen sistema de usuarios claves es la base de una firme seguridad.

Usa siempre claves seguras y no las desactives aunque te sea un poco molesto.

Repositorios seguros

Los repositorios son las fuentes de las que distribuciones como Ubuntu obtienen el software, usar repositorios inseguros o no autentificados podra resultar en la entrada de software malicioso en nuestro sistema.

Para evitarlo usa siempre repositorios oficiales o repositorios firmados con clave.

El cortafuegos

Entre las muchas funciones de un cortafuegos est la de aumentar la seguridad de nuestras conexiones de red aplicando filtros que analizan la procedencia, destino, puerto y otros datos relacionados con dichas conexiones.

Esta capa de seguridad es especialmente importante para todos aquellos que ofreceis servicios a travs de la red local o de internet (servidor de correo, hospedaje de pginas web, escritorio remoto...)

SeLinux / AppArmor

Es una capa extra de seguridad, capaz de confinar procesos, aplicaciones y/o usuarios, siguiendo unas polticas de seguridad preestablecidas, impidiendo de esta manera que se excedan en sus funciones o que se use software malintencionado para explotar sus potenciales vulnerabilidades.

El antivirus A diferencia de Windows donde un buen antivirus (y seguramente ms de uno) es totalmente necesario, en Ubuntu muy difcilmente vamos a necesitar este nivel de seguridad.

An as existen unos pocos casos en que puede ser til, como por ejemplo: escanear particiones Windows o dispositivos USB, escanear mquinas Windows a travs de la red, aadir un filtro antivirus a nuestro servidor de correo interno o evitar la infeccin de aplicaciones ejecutadas con Wine.

Herramientas de anlisis del sistema

Existen varias utilidades que nos ayudarn a analizar nuestro sistema, revisar sus puntos dbiles, posibles intrusiones y las principales vulnerabilidades.

Escaneadores de puertos, buscadores de rootkits o completas suites de seguridad.

Los registros

Todos los eventos que suceden en el sistema quedan registrados en alguna parte, incluidos los referidos a las conexiones externas y a la seguridad.

Saber localizar y analizar esta informacin nos dar informacin muy valiosa sobre el estado del sistema y los posibles fallos de seguridad del mismo.

Detectar y expulsar intrusos

Aunque es mucho ms difcil de lo que algunos piensan, bien por un descuido nuestro o bien por una vulnerabilidad de Ubuntu, podra darse el caso de que un usuario (o un programa) se colasen en nuestro sistema sin permiso. De cmo actuemos en estos casos depender si esta situacin se repetir o no.

Seguridad en Ubuntu (II) - Usuarios y claves

Como ya vimos en el post anterior Seguridad en Ubuntu (I) - Introduccin uno de los pilares bsicos de la solidez de los sistemas GNU/Linux es su potente gestin de usuarios y de permisos. En este artculo veremos como hacer un correcto uso de esta gestin, aumentando en gran medida la seguridad de nuestro sistema, tanto local como remota.

Tipos de cuentas de usuario

Existen varios tipos de cuentas de usuario que dan diferentes niveles de acceso para el uso y administracin del sistema. Asegrate de estar usando siempre la cuenta de usuario adecuada a tus necesidades, una cuenta con ms permisos de los necesarios tambin implica ms riesgos de los necesarios.

1. Usuario con permisos administrativos Este es el usuario que se crea durante la instalacin del sistema, tiene permiso para usar todas las aplicaciones instaladas, guardar o modificar contenidos en su carpeta personal y puede asumir temporalmente las funciones de administrador mediante la orden sudo. Este es el usuario indicado para el trabajo diario y la administracin de sistemas de escritorio habituales.

2. Usuario sin permisos administrativos Este es el tipo de usuarios que se crean desde el men Sistema - Administracin Usuarios y grupos, tiene permiso para usar todas las aplicaciones y guardar o modificar informaciones en su carpeta personal. No podr ejercer tareas administrativas ni usar el comando sudo.

Creacin de un usuario Si necesitas crear ms usuarios para que otras personas usen tu sistema es conveniente el uso de este tipo de cuentas. As pase lo que pase no podrn alterar la configuracin del sistema, slo sus opciones personales. En caso de que necesites dar permisos administrativos a estos usuarios puedes hacerlo desde el men Sistema - Administracin - Usuarios y grupos - Ajustes avanzados - Privilegios de usuario - Administrar el sistema

Ajustes avanzados - Privilegios de usuario

3. Usuario invitado Esta cuenta, presente en Ubuntu y en algunas otras distribuciones permite el acceso al sistema con un usuario sin privilegios, carece de contrasea y permite el uso de la mayora de aplicaciones, pero no guardar o modificar datos ni por supuesto asumir tareas administrativas. (Podr guardar datos pero stos se perdern al cerrar la sesin). Este tipo de cuenta es muy til en ordenadores de acceso pblico, demostraciones, o cualquier situacin en la que quieras que alguien pueda usar el sistema sin alterar nada. Para acceder a esta cuenta debes hacerlo desde una sesin de usuario ya iniciada haciendo clic en el applet de control de sesin y selecciona Sesin de invitado.

Acceso al usuario invitado

4. Usuario root Este es el usuario administrativo tradicionalmente usado en todas las distribuciones GNU/Linux, sin embargo en Ubuntu se ha desactivado esta cuenta y en su lugar se usa el comando sudo. Las ventajas del uso de sudo frente a root son: minimizar la posibilidad de desastres por descuido al estar la cuenta administrativa activa durante menos tiempo, hacer ms consciente al usuario de qu acciones entraan peligro y cuales no o acostumbrarse a usar permisos administrativos slo cuando son estrictamente necesarios, entre muchas otras razones. Algunos usuarios no acostumbrados al modo de trabajar de Ubuntu insisten en la activacin de esta cuenta (poniendo en peligro la seguridad del sistema). Si este es tu caso la activacin de la cuenta root se hace con la orden:
sudo passwd root

Esto asignar una contrasea al usuario root permitiendo su acceso al sistema y el uso del comando su. Una vez acabada la tarea administrativa en cuestin es recomendable volver a desactivar esta cuenta con la orden:
sudo passwd -l root

Contraseas

La contrasea es la llave que cierra la puerta de la privacidad de cada usuario. Por este motivo vale la pena dedicarle un poco de tiempo a la eleccin de la contrasea. Criterios para elegir una contrasea: 1. Deber tener una longitud mnima de 6 caracteres 2. Preferiblemente que contenga combinaciones de maysculas, minsculas, smbolos y nmeros 3. No deber contener ningn carcter fcilmente deducible por los datos "visibles" del usuario (es decir evita contraseas del tipo usuario1) 4. Preferiblemente usa contraseas creadas aleatoriamente

Ejemplos de malas combinaciones usuario/contrasea: usuario/usuario1, root/toor, usuario/1234, usuario/aaaaaaaa, usuario/apellido Ejemplos de buenas contraseas: ffagh61w, Op9%ssas Si tu contrasea no cumple estos requisitos puede ser fcilmente "rebentada" por programas de fuerza bruta. Para cambiar la contrasea y asignar una mejor usa el men Sistema Administracin - Usuarios y grupos - Cambiar contrasea

Cambiar contrasea Es muy tentador desactivar la contrasea del usuario para hacer ms cmodo el acceso, esto sera equivalente a dejar siempre el coche abierto para no tener que abrirlo (y con las llaves puestas!). Intenta evitar las opciones No preguntar de nuevo la contrasea al iniciar sesin (del men Usuarios y grupos) y Acceder como usuario automticamente (del men Pantalla de acceso)

Desactiva el acceso automtico al sistema

Cambiar permisos y grupos

Todos de los sistemas de ficheros comunes en GNU/Linux soportan un completo sistema de permisos, que asigna a cada archivo/directorio: un propietario, un grupo y permisos de lectura (r) / escritura (w) / ejecucin (x) independientes para el propietario, el grupo y el resto de usuarios. Veamoslo ms claro con un ejemplo, el comando ls -l nos mostrar todos estos datos:
ls -l

-rw-r----- 1 dani users 77951 2010-07-06 18:24 screenshot_001.png En este ejemplo el archivo screenshot_001.png es propiedad del usuario dani, pertenece al grupo users y sus permisos son: lectura y escritura para el propietario (los primeros rw-), lectura para el resto de usuarios del grupo users (r--) y ningn tipo de acceso para el resto de usuarios del sistema (---).

En ocasiones podemos encontrarnos que no tenemos permisos para realizar una u otra accin sobre un archivo (por ejemplo no podemos ejecutar un archivo descargado, o el editor nos avisa de que no podemos guardar cambios sobre un archivo de texto). La solucin NO es convertirse en root, la solucin es establecer correctamente los permisos del archivo. Para cambiar los permisos de un archivo usaremos el comando chmod (con sudo si el archivo no es de nuestra propiedad). A cada tipo de permiso se le asigna un numero: lectura=4, escritura=2, ejecucin=1, estos permisos pueden sumarse y deben informarse para el propietario, grupo y resto de usuarios. Veamos algunos ejemplos:
chmod 777 archivo # asigna permiso lectura(4) + escritura(2) + ejecucin(1) para el propietario, grupo y resto de usuarios chmod 600 # asigna permiso lectura(4) + escritura(2) al propietario, grupo y resto de usuarios no tienen acceso chmod 755 # todos los permisos para el propietario, lectura y ejecucin para el resto

Si estos comandos te parecen muy complicados siempre puedes usar el gestor de archivos para cambiar los permisos haciendo clic con el botn derecho sobre el archivo que quieres cambiar y eligiendo Propiedades - Permisos

Propiedades - Permisos Otro error comn es que el propietario o grupo del archivo no estn bien asignados (esto ocurre por ejemplo si usas algunos programas con root cuando no debes). De nuevo la solucin NO es convertirse en root (ms bien esto es el origen del problema), la solucin es establecer correctamente el propietario y grupo del archivo. Para esto usa el comando chown (con sudo si el archivo no es de tu propiedad). Su uso es bastante sencillo, con un ejemplo bastar:
sudo chown dani:dani archivo # asigna el propietario dani y el grupo dani al archivo

Seguridad en Ubuntu (III) - Software seguro

La semana pasada analizbamos la importancia de un correcto uso del sistema de usuarios y permisos en el artculo Seguridad en Ubuntu (II) - Usuarios y claves, esta semana continuaremos con otro pilar bsico de la seguridad: los programas que instalamos. Si controlamos el origen del software y usamos un mtodo de instalacin adecuado minimizaremos la posibilidad de introducir software malintencionado en el sistema, mejoraremos su estabilidad y reduciremos los riesgos en seguridad.

Mtodos de instalacin

En Ubuntu y GNU/Linux en general tenemos una gran variedad en mtodos de instalacin de software, en la gua oficial Aadir aplicaciones teneis todos estos mtodos explicados en detalle, pero voy a hacer un pequeo repaso a los ms comunes desde el punto de vista de la seguridad: 1. Usando el gestor de paquetes: Ubuntu usa paquetes de tipo DEB, muy seguros en su elavoracin e instalacin, estos paquetes se instalan/desinstalan con los gestores de paquetes (apt-get, aptitude, synaptic, adept, gdebi o el Centro de Software entre otros). Este es el mtodo ms recomendado para todo tipo de usuarios.

Centro de Software de Ubuntu (mtodo recomendado) Las principales ventajas de este mtodo son: - Instalacin y mantenimiento del software fcil y unificada - El creador del paquete est identificado y es accesible por cualquiera - Posibilidad de ver la lista de archivos que contiene el paquete

- Desinstalacin limpia - Si un paquete interfiere con otro el propio sistema de paquetes resuelve el conflicto - Si un paquete necesita otro para funcionar el propio sistema de paquetes resuelve la dependencia

2. Desde cdigo fuente: Otro mtodo de instalacin muy comn en GNU/Linux pero no tanto en Ubuntu es compilar directamente el cdigo fuente para conseguir un ejecutable. Se recomienda este mtodo nicamente para aquellos (poqusimos) programas que no estn disponibles en el gestor de paquetes.

Instalacin tpica desde fuentes Este mtodo, aunque en general es bastante seguro tiene importantes desventajas respecto al uso del sistema de paquetes: - Cada programa tiene su propio mtodo de instalacin - Para un usuario no experto es difcil saber qu archivos son instalados y cmo mantenerlos - Algunos programas instalados as solo pueden desinstalarse manualmente - No gestiona conflictos ni dependencias - Requiere la instalacin de compiladores, libreras, utilidades... Si te ves obligado a instalar software usando este mtodo ten en cuenta: leer atentamente las instrucciones de instalacin contenidas en el archivo README o INSTALL, comprueba que el sitio web del que sacaste el programa es fiable y tiene alguna direccin de contacto del autor, recuerda que el gestor de paquetes no podr desinstalar, actualizar ni gestionar este software de ninguna forma.

3. Scripts autoinstalables: Son archivos que contienen dentro de si mismos las rdenes necesarias para instalarse, este es el formato tpico de los drivers de nvidia (*.run) o scripts creados por usuarios con diferentes fines (*.sh) entre otros muchos.

Ejecucin de un script autoinstalable (driver de nVidia) Este es sin duda el mtodo ms inseguro de instalar software y habr que evitarlo siempre que sea posible, sus principales desventajas son: - Normalmente el origen es poco o nada fiable - Es muy fcil introducir cdigo malicioso en estos scripts - Para saber exactamente qu est haciendo el script hay que tener conocimientos de programacin shell Si te ves obligado a instalar software usando este mtodo ten en cuenta: asegurate muy bien de que el origen del script es fiable, desconfa especialmente de los scripts que requieren permisos de administrador, siempre que sea posible edita el script y analiza todo lo que hace antes de ejecutarlo.

Origen del software

El sistema de paquetes (mtodo recomendado de instalacin) obtiene el software de lo que se denominan repositorios, tienes una amplia gua de gestin de repositorios en Aadir repositorios externo, pero igual que antes vamos a ver cul es la mejor manera de gestionar estos repositorios desde el punto de vista de la seguridad. La herramienta bsica en Ubuntu para gestionar los repositorios es software-properties-gtk y la tienes disponible en el men Sistema - Administracin - Orgenes del software Existen varios tipos de repositorios que se gestionan de manera diferente y que softwareproperties-gtk puede controlar.

1. Repositorios oficiales de Ubuntu Este es el repositorio principal del que las distribuciones Ubuntu obtienen los paquetes, se puede cambiar desde la pestaa Software de Ubuntu, existen cientos de repositorios repartidos por todo el mundo y todos son muy seguros, pero para estar seguro de que estn perfectamente actualizados es recomendable usar el servidor principal de Ubuntu o el servidor primario del propio pais.

Seleccin de servidor principal No ser necesario tomar ninguna medida de seguridad especial para usar este tipo de repositorios.

2. Repositorios personales PPA Los repositorios personales o PPA son repositorios para usuarios de Ubuntu alojados en los servidores de Launchpad y contienen versiones ms nuevas (o de desarrollo) de ciertos programas. Estos repositorios no estn avalados por Canonical pero son creados por usuarios identificados y estan firmados digitalmente por lo que son relativamente seguros. La gestin de estos repositorios es muy sencilla y se integran perfectamente en el gestor de paquetes de Ubuntu. El nombre exacto del repositorio y la manera de agregarlo estar detallado en la pgina web de cada repositorio. Lo veremos mejor con un ejemplo, vamos a aadir el reposiorio PPA con la ltima versin disponible de Wine (la versin 1.2). El nombre del repositorio es ppa:ubuntu-wine/ppa y para aadirlo usaremos los siguientes comandos: - Aadir el repositorio a la lista de orgenes del software:
sudo add-apt-repository ppa:ubuntu-wine/ppa

- Actualizacin de la lista de paquetes:

sudo aptitude update

- Desinstalar la version anterior de wine (slo si ya lo tenas instalado):

sudo aptitude purge wine

- Instalacin del programa (en este caso wine):

sudo aptitude install wine

- Comprobar la versin de wine instalada:

wine --version wine-1.2

Las principales ventajas de este tipo de repositorios son entre otras: disponer de las ultimas versiones de desarrollo de ciertos programas, integracin total en el sistema de paquetes y sistema de seguridad basado en firmas digitales. Sus desventajas son: aadimos un cierto nivel de inestabilidad al usar programas en desarrollo o no suficientemente probados y aadimos un cierto nivel de inseguridad pues estos repositorios no estn comprobados por Canonical.

3. Repositorios externos En ocasiones (cada vez menos) el software que queremos instalar se encuentra empaquetado en repositorios de terceros (ni el principal de Ubuntu ni repositorios PPA), vamos a ver ahora como gestionamos esos repositorios y los aseguramos con una clave digital. De nuevo usaremos un ejemplo para ilustrar el proceso, en este caso vamos a aadir el fatstico repositorio de GetDeb que contiene gran cantidad de programas que no estn en los repositorios oficiales de Ubuntu o que estn pero en versiones anteriores. Las instrucciones de instalacin as como todos los paquetes que contiene los encontrareis en su web. El nombre exacto del repositorio es deb http://archive.getdeb.net/ubuntu lucidgetdeb apps y para aadirlo usaremos los siguientes comandos:

- Aadir manualmente el repositorio a la lista de repositorios del sistema:

sudo bash -c "echo 'deb http://archive.getdeb.net/ubuntu lucid-getdeb apps' >> /etc/apt/sources.list"

- Importar la clave digital para mayor seguridad:

wget -q -O- http://archive.getdeb.net/getdeb-archive.key | sudo apt-key add -

- Actualizar el sistema:
sudo aptitude update

- Instalar cualquier aplicacin de los repositorios de GetDeb, por ejemplo el navegador social Flock:
sudo aptitude install flock

El punto ms importante referente a la seguridad de este tipo de repositorios es no aadir nunca repositorios que no disponen de clave de seguridad o que no la hacen pblica.

Seguridad en Ubuntu (IV) - El cortafuegos

Tras el parn veraniego retomamos los artculos de seguridad con uno dedicado al cortafuegos (o firewall). Segn la Wikipedia, un cortafuegos es: ".. un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios." Para lo que nosotros queremos podramos definir el cortafuegos como una serie de reglas con las cuales filtraremos y controlaremos todo el trfico de red entrante y saliente de nuestro ordenador (o red local). El cortafuegos es la pieza principal en la seguridad de red. El ncleo de GNU/Linux (o kernel) lleva un cortafuegos integrado por lo que no es necesario instalar ningn software especfico para tenerlo. Sin embargo, la comunicacin con las funciones de cortafuegos del ncleo (a travs del comando iptables) puede ser algo complicada para usuarios no expertos, por este motivo existen programas que nos facilitarn la tarea de gestionar el cortafuegos. Para este artculo usar el programa gufw (podeis encontrarlo en el Centro de Software) para gestionar el cortafuegos, pero hay otros como firestarter o ufw-gtk que servirn igual.

Establecer la poltica general de acceso

Existen dos polticas principales a la hora de configurar el cortafuegos, dependiendo del tipo de uso que le vayamos a dar a nuestra conexin de red elegiremos una u otra: 1. Denegar trfico entrante: rechazar todas las conexiones entrantes y permitir expresamente las conexiones que deseamos (mtodo seguro). Recomendado para usuarios de escritorio y pequeas redes. 2. Permitir trfico entrante: aceptar todas las conexiones y establecer reglas especficas para las que queramos denegar (mtodo inseguro).

Desde la pantalla principal de gufw (Sistema - Administracin - Configuracin cortafuegos) activamos el cortafuegos y elegimos la poltica restrictiva por defecto para el trfico entrante:

Poltica restrictiva por defecto

Definir las reglas

Una vez definida la poltica general restrictiva podemos definir las reglas que permitirn aquellas comunicaciones que necesitemos. Tendremos que aadir una regla por cada servicio que queramos ofrecer. Hay muchos tipos de conexiones y muchas configuraciones para cada una de ellas, vamos a ver algunos ejemplos representativos, vosotros debereis aplicarlos a los servicios y las condiciones que querais fijar en vuestro cortafuegos. Abrir puertos para programas p2p: las redes p2p (emule, torrent...) requieren que ciertos puertos estn abiertos para funcionar correctamente, al establecer una poltica general restrictiva hemos "cerrado" todos los puertos por lo que estableceremos reglas para abrir los que necesitemos. Esto es tan sencillo como Aadir - Preconfigurado - Permitir - Entrante - Programa seleccionamos el programa al que queremos permitir el acceso - Aadir.

Acceso permitido al programa deluge (torrent) De la misma manera podemos permitir el acceso a los programas o servicios que creamos necesarios. Permitir administracin remota: es muy comn tener que configurar ordenadores de forma remota a travs de diferentes protocolos (ssh, vnc...) para lo cual generalmente se necesita abrir el acceso un puerto determinado. Esto es una "puerta abierta" al mundo y un posible agujero de seguridad. Para minimizar los riesgos filtraremos estas conexiones permitiendo nicamente la conexin desde una direccin IP determinada (la del ordenador que realiza la administracin remota). En este caso el proceso ser Aadir - Avanzado - Permitir - Entrante - Registro - TCP seleccionamos la direccin IP y puerto de origen y de destino - Aadir.

Definicin manual de reglas En este caso hemos establecido una regla que permite el acceso al servicio SSH (por el puerto 22) desde la direccin 192.168.1.10 (de nuestra red interna) al ordenador 192.168.1.2 (tambien de nuestra red interna, de manera que no se permitir la conexin desde ninguna otra ubicacin al servicio SSH). Adems para mayor seguridad hemos activado el registro de conexiones.

Seguridad en Ubuntu (V) - El antivirus

Si bien GNU/Linux es un sistema famoso por su seguridad, robustez y ausencia de virus (aunque alguno hay), por suerte o por desgracia nuestro sistema operativo favorito suele convivir con otros sistemas mucho ms vulnerables al ataque de los virus, ya sea en el mismo ordenador, dentro de una red local o en internet. Por este motivo existen soluciones de software antivirus que podemos instalar y ejecutar desde Ubuntu.

Para qu puedo necesitar un antivirus en GNU/Linux?

Escanear particiones de Windows: si por ejemplo descargamos archivos mediante programas p2p y luego abrimos estos archivos desde windows podramos infectarnos con virus, una manera de evitarlo es escanearlos desde Ubuntu antes de abrirlos. Mantener la particin $HOME libre de virus: aunque es poco probable podra darse el caso de que archivos descargados en Ubuntu estuviesen infectados y que estos acabasen afectando al sistema a travs de programas como por ejemplo Wine. Para evitarlo escanea todo lo que descargues de fuentes no fiables. Aadir un filtro antivirus al servidor de correo: si nuestro sistema Ubuntu es servidor de correo o pasarela de otras estaciones de trabajo windows puede ser una buena idea instalar un antivirus residente que analice y elimine cualquier amenaza antes de que sta llegue a los ordenadores "sensibles.

Antivirus nativos

ClamAV: ClamAV es un antivirus de cdigo abierto, especialmente diseado para el anlisis en servidores de correo. Este antivirus se encuentra en los repositorios de Ubuntu, para su instalacin ejecutaremos:
$ sudo aptitude install clamav clamtk

Finalizada la instalacin tenemos la interfaz grfica disponible en el men Aplicaciones Accesorios - Analizador de Virus. Su uso es muy intuitivo permitiendonos escanear cualquier carpeta o archivo del sistema.

ClamAV escaneando una particin Windows

Entre sus caractersticas ms destacables encontramos la posibilidad de programar el escaneado (desde el men Avanzado - Planificador), la posibilidad de funcionar en modo residente (instalando el paquete clamav-daemon), interfaz grfica para Gnome (clamtk) y KDE (klamav), opcin de poner archivos en cuarentena...

Avast: Avast tambin dispone de una versin para GNU/Linux gratuita para uso personal no comercial (debereis registraros en su web rellenando el formulario de registro). Aunque no est en los repositorios podemos descargar el paquete deb directamente desde su web avast! Linux Edition (DEB package) Una vez descargado el archivo lo instalaremos con la orden:
$ sudo dpkg -i avast4workstation_1.3.0-2_i386.deb

Incomprensiblemente la instalacin no supo crear los enlaces correspondientes en el men de Gnome, por lo que fue necesario arrancarlo desde un terminal con la orden:
$ avastgui

Avast escaneando $HOME

Su funcionamiento es muy intuitivo, antes de nada actualizaremos la base de datos y una vez acabada la actualizacin procederemos a escanear las carpetas seleccionadas o bien el sistema entero (no recomendable).

AVG: AVG no est en los repositorios, pero dispone de paquete deb (se echa en falta una versin especfica de 64bits) que podeis descargar desde su propia web avg85flx-r855-a3656.i386.deb. Una vez descargado el archivo lo instalaremos con la orden:
$ sudo dpkg -i avg85flx-r855-a3656.i386.deb

Una vez instalado podemos ejecutarlo desde linea de comandos pasandole como parmetro el directorio que queremos escanear en busca de virus.
$ avgscan ~

AVG command line Anti-Virus scanner Copyright (c) 2010 AVG Technologies CZ Virus database version: 271.1.1/3137 Virus database release date: Wed, 15 Sep 2010 20:34:00 +02:00 Files scanned : 8451(8443) Infections found : 0(0) PUPs found : 0 Files healed : 0 Warnings reported : 0 Errors reported : 0

Seguridad en Ubuntu (VI) - Herramientas de anlisis del sistema

Un aspecto importante en la seguridad y que mucha gente ignora son los anlisis ms o menos peridicos del sistema. Estos anlisis nos ayudarn a detectar posibles intrusiones, evaluar la seguridad del sistema y preveer cuales son los principales riesgos. Existen numerosas herramientas para estas tareas, algunas de ellas muy sencillas, otras muy complejas. En este artculo os voy a presentar algunas de las que me han parecido ms tiles y sencillas de usar.

Qu puertos/servicios tengo abiertos? nmap

La mayora de intrusiones remotas se producen por falls en los servicios que damos al exterior. Estos servicios abren puertos a travs de los cuales es tericamente posible obtener acceso al sistema. El comando nmap nos servir (entre otras cosas) para listar estos servicios:
sudo apt-get install nmap nmap localhost

Esto instalar nmap y listar los puertos/servicios que ofrece nuestro sistema, en mi caso por ejemplo este es el resultado:
Starting Nmap 5.21 ( http://nmap.org ) at 2010-12-09 14:14 CET Nmap scan report for localhost (127.0.0.1) Host is up (0.00060s latency). Hostname localhost resolves to 2 IPs. Only scanned 127.0.0.1 rDNS record for 127.0.0.1: localhost.localdomain Not shown: 997 closed ports PORT STATE SERVICE 21/tcp open ftp 139/tcp open netbios-ssn 445/tcp open microsoft-ds 631/tcp open ipp

Estos resultados corresponden a la comparticin de archivos mediante Samba (puertos 139 y 445), al servicio de impresora de red (puerto 631) y al servidor de archivos ftp que he instalado (puerto 21). Si veis puertos o servicios listados que no necesitais podeis desactivarlos desinstalando el paquete correspondiente o modificando los scripts de arranque siguiendo este artculo Optimizar El Arranque (II) Bum Nota: si no sabeis exactamente lo que hace un puerto/servicio podeis consultar la web http://www.speedguide.net/ports.php Otro punto importante a escanear, es el router (principalmente para aquellos que teneis conexiones ADSL), este escaneado nos mostrar qu puertos/servicios son directamente accesibles desde el exterior.
nmap 192.168.1.1

Tan solo hay que darle nmap la direccin IP de nuestro router. En mi caso este fue el resultado:
Starting Nmap 5.21 ( http://nmap.org ) at 2010-12-09 16:30 CET Nmap scan report for 192.168.1.1 Host is up (0.0035s latency). Not shown: 997 closed ports PORT STATE SERVICE 21/tcp open ftp 23/tcp open telnet 80/tcp open http

Estos resultados corresponden a los mtodos de acceso a la configuracin del router (por telnet puerto 23 y web puerto 80) y a la redireccin del puerto ftp (puerto 21) a mi servidor local de archivos. Si veis puertos o servicios listados que no necesitais podeis desactivarlos o restringir el acceso desde el exterior configurando correctamente las opciones de vuestro router.

Nota: podeis comprobar qu puertos/servicios son visibles desde el exterior con el escaneador online de http://www.speedguide.net/portscan.php

Me han colado algn troyano? rkhunter

Un troyano es un tipo de software malicioso que tiene generalmente como propsito el robo de informacin privada del sistema infectado. Se distinguen de los virus en que generalmente no provocan daos visibles. GNU/Linux no es invulnerable a este tipo de software y la infeccin es relativamente fcil, para saber si hemos sido "infectados" por algn tipo de troyano tenemos la herramienta rkhunter, su instalacin es sencilla
sudo apt-get install rkhunter

Una vez instalado lo ejecutaremos con la orden:

sudo rkhunter -c

Este comando ejecutar una serie de tests en busca de troyanos y dar como resultado final un informe como este:
System checks summary ===================== File properties checks... Files checked: 131 Suspect files: 0 Rootkit checks... Rootkits checked : 242 Possible rootkits: 0 Applications checks... All checks skipped The system checks took: 1 minute and 46 seconds All results have been written to the log file (/var/log/rkhunter.log) One or more warnings have been found while checking the system. Please check the log file (/var/log/rkhunter.log)

Si apareciese algn troyano el propio programa nos dar instrucciones sobre como eliminarlo y enlaces con ms informacin del problema.

Qu usuarios entran en el sistema? lastlog

Todos los accesos al sistema quedan registrados y podemos consultar este registro para ver si alguien est accediendo a nuestro ordenador tanto remota como localmente.

Para ver el registro de entradas ejecutaremos el comando lastlog:

lastlog | grep -v Nunca Nombre Puerto De ltimo dani tty1 sb nov 27 14:56:04 +0100 2010

Aqu comprobaremos que no hay accesos no controlados, en caso de aparecer entradas sospechosas lo ms recomendable es cambiar la contrasea del usuario comprometido y ejecutar rkhunter para asegurarnos de que no nos han dejado ningn regalo camuflado.