ASEGURAMIENTO DE SERVIDOR WEB

LINUX FEDORA 27

ASEGURAMIENTO DE SERVIDOR WEB

LINUX FEDORA 27

0
 ASEGURAMIENTO DE SERVIDOR WEB
LINUX FEDORA 27

El presente documento contiene información confidencial elaborada por estudiantes de la materia

Seguridad de la informatica en el proyecto de Hardening de Seguridad para
Linux Fedora 27

IDENTIFICACION DEL DOCUMENTO

MODULO 1: HERRAMIENTAS DE SEGURIDAD DE LA INFORMACION

C O D I G O D O C U M E N T O : -HARDENING-FEDORA 27

VERSION VIGENTE :1

FECHA DE REVISION : 02/01/2018

AUTORES :
Carlos A. Suarez Lopez
Edson Morales
Juan C. Coca Vidal

R E V I S O R: Docente: Adolfo Choquellampa

1
 ASEGURAMIENTO DE SERVIDOR WEB
LINUX FEDORA 27

TABLA DE CONTENIDO

PARTE 1 - ASPECTOS GENERALES

INTRODUCCIÓN……………………………………………………………………………………..2
OBJETIVO…………………………………………………………………………………………….4
ALCANCE……………………………………………………………………………………………..4

PARTE 2 - DESARROLLO
INSTALACIÓN Y CONFIGURACIÓN DEL LINUX CENTOS 7…………………………………5
MOTIVOS PARA PROTEGER EL GRUP………………………………………………………...11
REVISIÓN DE LOS SERVICIOS…………………………………………………………………..11
ASEGURAMIENTO DE SSH……………………………………………………………………….13
ASEGURAMIENTO DE APACHE…………………………………………………………………14
ASEGURAMIENTO DE CLIENTE LINUX CENTOS…………………………………………….23

2
 ASEGURAMIENTO DE SERVIDOR WEB
LINUX FEDORA 27

1. INTRODUCCION
2. OBJETIVO

3. ALCANCE

4. INSTALACION Y CONFIGURACIÓN DEL SISTEMA OPERATIVO

Cuando ya está instalado el sistema operativo, se deben ejecutar los siguientes comandos:
Servidor
ITEM Comando Descripción Responsable Autorizado
/ Cliente
100 dnf -y group install Habilitar modo grafico Si/si Ing.Adolfo
"LXDE Desktop"

101 useradd Crer usuarios Si/no Ing.Adolfo

nombusuario

102 passwd Crear contraseña para Si/no Ing.Adolfo

nombusuario
acceso al usuario

103 usermod -G wheel Darle permiso a usuario Si/no Ing.Adolfo

nombusuario
para que puyeda
administrar la raíz del
sistema
104 - systemctl Detener o inabolitar No/no Ing.Adolfo
stop firware
firewalld
- systemctl
stop
firewalld

105 vi /etc/default/grub Deshabilitar ipv6 Si/si Ing.Adolfo

3
 ASEGURAMIENTO DE SERVIDOR WEB
LINUX FEDORA 27

systemctl -t service Verificar los servicios que Si/no

106 están activos
107 dnf install package Actualizar sistema Si/si
108 dnf -y install vim- instalacion vim SI/NO
enhanced

HABILITAR PASSWORD PROTECT GRUB

ITE Comando Descripción Servid
Responsa Autoriza
M or /
ble do
Cliente

MOTIVOS PARA PROTEGER EL GRUB

REVISION DE SERVICIOS

HABILITAR/DESABILITAR OTROS SERVICIOS

4
 ASEGURAMIENTO DE SERVIDOR WEB
LINUX FEDORA 27

ITE Comando Descripción Servid

Responsa Autoriza
M or /
ble do
Cliente
200 firewall-cmd --add- Si Firewalld se está Si/no
ejecutando, permite
service=ssh --permanent el servicio SSH. SSH
usa 22 / TCP.

201 dnf -y install openssh- Instalar SSH client Si/no

clients

202 dnf -y install bind bind- Descargar bin a ocupar Si/no

utils

HARDENING SSH
DESABILITAR OPENSSH

5
 ASEGURAMIENTO DE SERVIDOR WEB
LINUX FEDORA 27

ITEM Comando Descripción Responsable Autorizado Serv /

Client

ASEGURAMIENTO DE OPENSSH

ITEM Comando Descripción Responsable Autorizado Serv/Client

b. Deshabilitar el acceso como root

La configuración del servidor SSH se encuentra almacenada en el fichero /etc/ssh/sshd_config

ITE Comando Descripción Responsabl Autorizado Serv/Client

M e

c. Configurar Firewall SSH Puerto 22

Configuración Iptables
ITE Comando Descripción Responsable Autorizado Serv/Client
M

6
 ASEGURAMIENTO DE SERVIDOR WEB
LINUX FEDORA 27

ITE Comando Descripción Responsable Autorizado Serv/Client

M

e. SSH Limitar el acceso a usuarios

Por defecto todos los usuarios de sistema pueden iniciar sesión a través de SSH utilizando su
contraseña. Los usuarios pueden iniciar sesión en el sistema usando ssh a través de
AllowUsers. Tendrán acceso completo a las herramientas del sistema, incluyendo los
compiladores y lenguajes de programación como Perl, Python que puede abrir los puertos de red
y hacer muchas otras cosas. Un atacante puede ser capaz de crear una nueva cuenta en el
sistema a través de un script PHP, pero no lo podrá conseguir a través de ssh, ya que no estaba
en AllowUsers.

ITE Comando Descripción Responsabl Autorizado Serv/Client

M e
1 vi Edita el archivo Administrado Administrado Si/Si
/etc/ssh/sshd_config sssh_config. r de sistemas r de sistemas
Para permitir
conectarse
remotamente a
algunos usuarios,
añada la siguiente
línea:
AllowUsers userad
2 service sshd restart Reinicia el servicio Administrado
ssh r de sistemas

Alternativamente, usted puede permitir que todos los usuarios puedan inicar sesión a través de
SSH, y negar algunos usuarios, con la siguiente línea:
DenyUsers maria jorge

7
 ASEGURAMIENTO DE SERVIDOR WEB
LINUX FEDORA 27

f. Número máximo de intentos de conexión

ITE Comando Descripción Responsabl Autorizado Serv/Client

M e

Usar un Puerto No-Estándar para SSH

Por defecto, SSH escucha las conexiones entrantes en el puerto 22. Para que un atacante
determine si SSH se está ejecutando en su máquina, lo más probable es que escanee el puerto
22.
Un método efectivo es ejecutar ssh en un puerto no-estándar. Cualquier puerto sin usar
funcionará, pero es preferible usar uno por encima del 1024.
Para hacer los cambios añada una línea como está a su fichero /etc/ssh/sshd_config

ITE Comando Descripción Responsabl Autorizado Serv/Client

M e
1 vi Edita el archivo Administrado Administrado Si/No
/etc/ssh/sshd_config sssh_config. r de sistemas r de sistemas
Añada una línea:
# Ejecutar ssh en un
puerto No-Estándar:
Port 2345
2 service sshd restart Reinicia el servicio Administrado
ssh r de sistemas
Recuerde hacer cualquier cambio necesario a los puertos de reenvío en su enrutador y a
cualquier regla aplicable al cortafuego

8
 ASEGURAMIENTO DE SERVIDOR WEB
LINUX FEDORA 27

HARDENING APACHE

ITEM Comando Descripción Responsabl Autorizado Serv/Client

e

b. Cambiar permisos
La carpeta de apache (por defecto es /var/www/html) debería ser escribible solo por el usuario
root. Y solo puede ser leída por todo el mundo por ente se debe configurar así:

ITEM Comando Descripción Responsable Autorizado Serv/Client

9
 ASEGURAMIENTO DE SERVIDOR WEB
LINUX FEDORA 27

c. Retirar el banner que muestra la versión del servidor web

ITEM Comando Descripción Responsa Autorizad Serv/Client
ble o

d. Permitir a atacantes remotos obtener información sensible

A continuación se detallan los pasos que los atacantes remotos obtengan información sensible
como número de nodo, limite MIME y el proceso hijo a través de la cabecera Etag.
ITEM Comando Descripció Responsabl Autorizad Serv/Client
n e o

e. Ejecutar apache de la cuenta sin privilegios

A continuación se detallan los pasos para ejecutar apache de la cuenta sin privilegios
ITE Comando Descripción Responsa Autorizado Serv/Client
M ble

f. Proteger el acceso al directorio binario y de configuracion

10
 ASEGURAMIENTO DE SERVIDOR WEB
LINUX FEDORA 27

Por defecto, el permiso para binaria y la configuración es 755 que significa que cualquier usuario

en el servidor puede ver la configuración. Usted puede permitir otro usuario no pueda entrar en

conf y carpeta bin.

ITEM Comando Descripció Responsable Autoriza Serv/Client

n do

CONFIGURACION Y ASEGURDAMIENTO PARA LINUX DESKTOP CENTOS

PROCESOS DE INSTALACION DESKTOP CENTOS

Paso 4.- Crear las particiones del sistema:

Cuanto más particionado tengamos nuestro sistema de archivos más estamos aislando el daño
que podría provocar un error físico de nuestro disco y mayores serán las opciones de recuperar
información.
/boot/ contiene el kernel del sistema operativo (el cual permite a su sistema arrancar CENTOS)
junto con archivos utilizados durante el proceso de arranque.
swap: es la partición de intercambio, puede ser un fichero en vez de una partición, el uso de esta
partición es muy recomendable y obligatorio en casi todas las distribuciones de Linux.

3.1. INSTALACION Y CONFIGURACION DE UN CLIENTE LINUX CENTOS

la cuenta root ejemplo cuando se desea actualizar el sistema.
ITEM Comando Descripción Responsable Autorizado Observaciones

11