Guía Borrador realizada por los Consultores de la Unidad de Hosting Adecuaciones

Manual de Instalación Segura de Servidores Linux – Unix

El objetivo del presente documento es generar un listado general y específico sobre las
activades que deben ser consideradas para la instalación de equipos bajo la plataforma
UNIX, como a su vez puntos sobre la instalación y refuerzo de parámetros de seguridad.
Este recurso técnico va dirijo al personal que se encuentra operando y administrando los
diferentes Sistema Operativos Bajo esta plataforma con el fin de que sean aplicados de
manera más rápida, eficaz y sencilla, el contenido aplica para los actuales Sistemas
Operativos utilizados en la empresa los cuales son Linux Debian y CentOS, además de
algunos que se encuentran operativos previamente como lo son Unix AIX y HP-UX.

Lista de Actividades para una Configuración Segura.

1) Protección de Acceso al BIOS:

 Solo deben poseer acceso a la VM vía con local aquellos usuarios con Acceso.
 No se debe permitir el inicio del equipo mediante una Unidad Externa (CD-Rom,
Pendrive, etc).

2) Proceso de Instalación del Sistema Operativo:

 Se deben sentenciar 2 usuarios con contraseñas robustas (de entre 8 a 12 caracteres

con contenido en palabras y alfanumérico), el super usuario conocido como
“ROOT” y un seudo-administrador conocido como “SOADMIN”.

3) Proceso de Adecuación de la VM:

 Tras realizar las actividades necesarias para la adecuación del equipo el mecanismo
que debe poseer como medio de actualización e instalación de Paquetes son los
Repositorios Internos de Cantv.
 Verificar que las sesiones de cada uno de los usuarios que se encuentran dentro de la
VM no posean un tiempo de actividad más allá de 7200 Seg (2 Horas).
 Los usuarios secundarios o de Soporte de Aplicativo no deben poseer permisología
SUDO (A menos que sea completamente necesario o se encuentre justificado en la
planilla de solicitud).

Guía Borrador realizada por los Consultores de la Unidad de Hosting Adecuaciones

 Guía Borrador realizada por los Consultores de la Unidad de Hosting Adecuaciones

 Se debe realizar actualizaciones congruentes del S.O antes de realizar la entrega del
equipo.
 Se debe verificar que el nombre del servidor y que sus direcciones IP’S sean las
correctas.
 Se debe efectuar la configuración del servicio SSH solamente como método de
comprobación remota al equipo.
 Antes de proceder con la entrega del servidor se debe validar puertos abiertos o
cerrados ya sea por el comando nmap y/o netstat.
 Se debe establecer un tiempo de cambio de contraseña temporal para cada usuario
no mayor a 15 días, como a su vez un tiempo de vencimiento de la cuenta de un
máximo de 365 días, todo para establecer un control de los usuarios activos que
poseen acceso al Servidor.
 La cantidad de recursos otorgados deben estar acorde a la magnitud e impacto del
aplicativo y/o plataforma, como a su vez se debe realizar un estudio para dictar si
requiere un incremento o sustracción de recursos en caso de ser necesario.

4) Restricción y Protección de FileSystems y Archivos.

 Se debe de comprobar que los FS Madre/Padre en los cuales se encuentran

ejecuciones cruciales para el S.O posean un único administrador el cual debe ser el
ROOT o el Super Admin. Ejemplos de algunos FS son /, /etc, /var y /usr.
 Se deben resguardar bajo la administración del usuario ROOT o Super Admin
archivos de configuración cruciales para el S.O operativo, como lo son el uso del
crontab, rc.local, los bash.profile de cada usuario, la estructura de particionado en el
/etc/fstab y los scripts que se generen para la realización de actividades.

5) Verificación de Servicios Activos en el Equipo.

 Se debe velar que los puertos que están activos y a la escucha en el host sean
aquellos que están siendo utilizados por un paquete o aplicativo necesario, de no ser
así deben encontrarse cerrados. Ejemplo de servicios más solicitados Apache2 o
HTTP(S), PostgresSQL, MariaDB, NGINEX y SSH.

6) Protección del pam_tally2

 Se debe de robustecer el paquete de pam-tally2 en los equipos Linux para ejecutar

parámetros y estructuras de seguridad mas eficaces a los usuarios, así como en

Guía Borrador realizada por los Consultores de la Unidad de Hosting Adecuaciones

 Guía Borrador realizada por los Consultores de la Unidad de Hosting Adecuaciones

seguimiento de valores para los caracteres de contraseña y expiración. Se be instalar

el paquete “libpam-pwquality” y luego proceder a su configuración.

7) Permiso para la Creación de Directorios o Archivos.

 El usuario ROOT o el Administrador del S.O es el encargado de verla la creación, la

configuración y asignación de permisos en Directorios o Archivos dentro del
Equipo.
 Los usuarios de Soporte de Aplicativo deben poseer acceso única y exclusivamente
a los directorios donde se almacena el mismo, para que puedan realizar los cambios
necesarios sin afectar el funcionamiento del S.O.

8) Activación y Configuración de Bitácoras.

 Se debe encontrar activo el servicio de escritura de logs o syslog correspondientes

en el Server para llevar el control y registro de las ejecuciones que se llevan a cabo,
como también se debe encontrar activo el bash.profile de cada de los usuarios para
verificar las acciones realizas en caso de ser requeridas.

9) El Equipo debe encontrarse dentro del Dominio.

 Una vez culminadas todas las actividades para y con el Equipo se debe realizar la
solicitud de creación de DNS, PTR o ambas (según sea el caso) a la unidad de
Soporte Middelware, para que el equipo se encuentre reconocido dentro de la Red
Corporativa, esta actividad debe encontrarse contemplada previamente en la Planilla
de Solicitud de Adecuación del Servidor.
 Una vez realizada la solicitud y se haya dado la respuesta de atención por parte de la
Unidad de Middelware se procede a verificar si efectivamente el equipo responde a
su DNS o hace la resolución inversa por PTR (según sea el caso).

Guía Borrador realizada por los Consultores de la Unidad de Hosting Adecuaciones