HARDENIG EN LINUX

Los parmetros de seguridad del kernel en

linux.
La siguiente lista muestra los parmetros ajustables del ncleo que puede
utilizar para proteger su servidor Linux contra ataques.
Para cada uno los parmetros del ncleo que se mostrar se pueden ubicar
en el archivo de configuracin /etc/sysctl.conf
Para visualizar la configuracin actual del kernel en tiempo de ejecucin,
utilice:
# Sysctl-p
Habilitar TCP SYN Cookies Proteccin
Un "ataque SYN" es un ataque de denegacin de servicio que consume
todos los recursos en una mquina. Cualquier servidor que est conectado
a una red est potencialmente sujeto a este ataque.
Para habilitar TCP SYN Cookies Proteccin, editar el archivo /etc/sysctl.conf
y aada la siguiente lnea:
net.ipv4.tcp_syncookies = 1
Deshabilitar el origen de enrutamiento IP
El enrutamiento de origen se utiliza para especificar una ruta o una ruta a
travs de la red desde el origen hasta el destino. Esta caracterstica puede
ser utilizado por personas de la red para el diagnstico de problemas. Sin
embargo, si un intruso puede enviar un enrutados en el origen de paquetes
en la red, entonces se podra interceptar las respuestas y su servidor no
puede saber que no es la comunicacin con un servidor de confianza.
Para permitir la verificacin de ruta de origen, modificar el archivo
/etc/sysctl.conf y aada la siguiente lnea:
net.ipv4.conf.all.accept_source_route = 0
Desactivar ICMP Redirect aceptacin
Redirecciones ICMP son utilizados por los routers para indicar al servidor que
hay un mejor camino a las redes que no sea el elegido por el servidor. Sin
embargo, un intruso podra utilizar paquetes de redireccin ICMP para

alterar la tabla de enrutamiento de los hosts haciendo que el trfico a

utilizar una ruta que no tena la intencin.
Para desactivar el redireccionamiento ICMP aceptacin, editar el archivo
/etc/sysctl.conf y aada la siguiente lnea:
net.ipv4.conf.all.accept_redirects = 0
Habilitar la proteccin IP Spoofing
IP spoofing es una tcnica donde un intruso enva paquetes que dicen ser de
otro host mediante la manipulacin de la direccin de origen. IP Spoofing es
a menudo utilizado para ataques de denegacin de servicio. Para ms
informacin sobre IP Spoofing, te recomiendo el artculo de IP Spoofing:
Comprender los conceptos bsicos.
Para habilitar la proteccin IP Spoofing, a su vez en la verificacin de
direccin de origen. Editar el archivo /etc/sysctl.conf y aada la siguiente
lnea:
net.ipv4.conf.all.rp_filter = 1
Activar ignorar a las peticiones ICMP
Si desea o necesita Linux para ignorar las peticiones ping, editar el archivo
/etc/sysctl.conf y aada la siguiente lnea:
net.ipv4.icmp_echo_ignore_all = 1
Activar ignorando las peticiones de emisiones
Si desea o necesita configurar a Linux para ignorar las peticiones de un
emisor, se requiere editar el archivo /etc/sysctl.conf y aada la siguiente
lnea:
net.ipv4.icmp_echo_ignore_broadcasts = 1
Habilitar la proteccin mal mensaje de error
Para alertar acerca de mensajes de error falsos en la red, editar el archivo
/etc /sysctl.conf y aada la siguiente lnea:
net.ipv4.icmp_ignore_bogus_error_responses = 1
Habilitar el registro de los paquetes falsos, paquetes enrutados de origen,
paquetes de redireccin.

Para activar el registro de paquetes falsos, paquetes enrutados de origen, y

redirigir paquetes, editar el archivo /etc/sysctl.conf y aada la siguiente
lnea:
net.ipv4.conf.all.log_martians = 1

Aplicacin de contraseas ms seguras

Consideraciones prcticas
Las contraseas seguras que segn la mayoria de usuarios generan no son mucho ms
seguras que las contraseas dbiles. Algunos argumentan que las contraseas seguras
pueden proteger el acceso a sus sistemas y aplicaciones y que los protegen contra por
ejemplo, Los ataques de diccionario, etc. Sin duda, es importante practicar la
administracin de contraseas seguras. En mi opinin, una contrasea debe tener por lo
menos un nmero de dgitos, uno de los personajes, y una letra mayscula. Pero tenga
en cuenta de no hacerla demasiado complicada.
Cmo obligar al sistema a utilizar contraseas ms seguras
El mdulo pam_cracklib comprueba la contrasea con las palabras del diccionario y de
otro tipo. Desafortunadamente, sin embargo, en el origen de Linux para el mdulo PAM
el parmetro pam_cracklib utiliza un mecanismo de crdito.
El siguiente ejemplo muestra cmo hacer cumplir las reglas de contrasea a
continuacin:
- La longitud mnima de contrasea debe ser de 8
- El nmero mnimo de letras maysculas deben ser 1
- Nmero mnimo de las letras maysculas deben ser 1
- Nmero mnimo de dgitos que debe ser 1
- Nmero mnimo de caracteres deben ser 1
pam_cracklib.so

minlen=8

Minimum length of password is 8

pam_cracklib.so

lcredit=-1

Minimum number of lower case letters is 1

pam_cracklib.so

ucredit=-1

Minimum number of upper case letters is 1

pam_cracklib.so

dcredit=-1

Minimum number of digits is 1

pam_cracklib.so

ocredit=-1

Minimum number of other characters is 1

Para configurar estas restricciones de contrasea, editar el archivo

/etc/pam.d/system-auth y aadir o cambiar los siguientes argumentos
pam_cracklib resaltado en azul:

auth
required
/lib/security/$ISA/pam_env.so
auth
sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth
required
/lib/security/$ISA/pam_deny.so
account
required
/lib/security/$ISA/pam_unix.so
account
sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100
quiet
account
required
/lib/security/$ISA/pam_permit.so
password requisite /lib/security/$ISA/pam_cracklib.so retry=3
minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1
password
sufficient
/lib/security/$ISA/pam_unix.so nullok
use_authtok md5 shadow
password
required
/lib/security/$ISA/pam_deny.so
session
required
/lib/security/$ISA/pam_limits.so
session
required
/lib/security/$ISA/pam_unix.so

Asegurando Inittab
vim /etc/inittab
Activando el nivel de arranque por terminal.
id:3:initdefault:
Desactivando la opcin CTRL-ALT-DELETE
#ca::ctrlaltdel:/sbin/shtdown t3 r now

Restringiendo el acceso solo a dos terminales: Buscar las siguientes lineas en el

archivo /etc/inittab:
# Run gettys in standard runlevels
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
4:2345:respawn:/sbin/mingetty tty4
5:2345:respawn:/sbin/mingetty tty5
6:2345:respawn:/sbin/mingetty tty6
Remplace por:
# Run gettys in standard runlevels
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
#3:2345:respawn:/sbin/mingetty tty3 |
#4:2345:respawn:/sbin/mingetty tty4 | disable this line
#5:2345:respawn:/sbin/mingetty tty5 |
#6:2345:respawn:/sbin/mingetty tty6
Modificando /etc/hosts.deny
portmap: ALL
Modificando /etc/hosts.allow
portmap: localhost
portmap: 127.0.0.1

Tomado de:
http://www.puschitz.com/SecuringLinux.shtml#ReviewingInittabAndBootS
cripts