|
Lines 180-185
Link Here
|
| 180 |
detener, el cual puede desconectar el sistema de Internet. Pueden no |
180 |
detener, el cual puede desconectar el sistema de Internet. Pueden no |
| 181 |
quebrar el sistema, pero saturaran la conexión a Internet.</para> |
181 |
quebrar el sistema, pero saturaran la conexión a Internet.</para> |
| 182 |
|
182 |
|
|
|
183 |
</sect1> |
| 184 |
|
| 185 |
<sect1 id="securing-freebsd"> |
| 186 |
<title>Asegurando FreeBSD</title> |
| 187 |
<indexterm> |
| 188 |
<primary>seguridad</primary> |
| 189 |
<secondary>asegurando FreeBSD</secondary> |
| 190 |
</indexterm> |
| 191 |
|
| 192 |
<note> |
| 193 |
<title>Comando vs. Protocolo</title> |
| 194 |
<para>A través de este documento usaremos el texto en <application> |
| 195 |
negrita</application> para referirnos a un comando o aplicación. |
| 196 |
Esto se utiliza para casos tales como ssh, puesto que es tanto un protocolo |
| 197 |
como un comando.</para> |
| 198 |
</note> |
| 199 |
|
| 200 |
<para>Las siguientes secciones cubrirán los métodos para asegurar |
| 201 |
su sistema FreeBSD que fueron mencionados en la <link linkend="security-intro"> |
| 202 |
sección anterior</link> a este capítulo.</para> |
| 203 |
|
| 204 |
<sect2 id="seuring-root-and-staff"> |
| 205 |
<title>Asegurando la cuenta <username>root</username> y las cuentas de |
| 206 |
staff</title> |
| 207 |
<indexterm> |
| 208 |
<primary><command>su</command></primary> |
| 209 |
</indexterm> |
| 210 |
|
| 211 |
<para>Antés que nada, no se preocupe en asegurar las cuentas |
| 212 |
del staff si aun no ha asegurado la cuenta <username>root</username>. |
| 213 |
La mayor parte de los sistemas tienen asignada una clave de acceso |
| 214 |
a la cuenta <username>root</username>. Lo primero que usted debe |
| 215 |
asumir es que la contraseña <emphasis>siempre</emphasis> |
| 216 |
comprometida. Esto no significa que tenga que remover la |
| 217 |
contraseña. La contraseña es casi siempre necesaria |
| 218 |
para el acceso a la consola de la computadora. Esto significa que |
| 219 |
usted no debe permitir utilizar la contraseña fuera de la consola o |
| 220 |
igualarla posiblemente con el comando &man.su.1;. Por ejemplo, |
| 221 |
cerciorese de que sus ptys sean correctamente especificados como |
| 222 |
inseguros en el archivo <filename>/etc/ttys</filename> para rechazar |
| 223 |
conexiones directas a <username>root</username> via <command>telnet |
| 224 |
</command> o <command>rlogin</command>. Si se usan otros servicios |
| 225 |
tales como <application>sshd</application>, asegurese de que las |
| 226 |
conexiones directas a <username>root</username> esten deshabilitadas. |
| 227 |
Es posible hacer esto editando el fichero <filename>/etc/ssh/sshd_config |
| 228 |
</filename>, asegurando que <literal>PermitRootLogin</literal> este |
| 229 |
fijado como <literal>NO</literal>. Considere cada método de |
| 230 |
servicio tal como FTP que puede caer a menudo en cracks. Las |
| 231 |
conexiones directas a <username>root</username> deben ser solamente |
| 232 |
permitidas fisicamente en la consola de sistema.</para> |
| 233 |
<indexterm> |
| 234 |
<primary><groupname>wheel</groupname></primary> |
| 235 |
</indexterm> |
| 236 |
|
| 237 |
<para>Por supuesto, como administrador de sistema usted debe poder |
| 238 |
accesar <username>root</username>, nosotros tenemos algunas formas |
| 239 |
de conseguirlo. Nos aseguraremos de que estas formas tengas |
| 240 |
autenticación adicional. Una de las formas de hacer <username> |
| 241 |
root</username> accesible es agregar cuentas apropiadas del staff al |
| 242 |
grupo <groupname>wheel</groupname> (en <filename>/etc/group</filename>). |
| 243 |
Se permite a los miembros del staff puestos en el grupo <groupname>wheel |
| 244 |
</groupname> usar el comando <command>su</command> para accesar <username> |
| 245 |
root</username>. Nunca debe dar a miembros del staff acceso nativo a |
| 246 |
<groupname>wheel</groupname> cuando se crea la cuenta. Las cuentas del |
| 247 |
staff deben estar colocadas en grupos de <groupname>staff</groupname>, |
| 248 |
para después agregar a aquellos deseados al grupo <groupname> |
| 249 |
wheel</groupname> en el fichero <filename>/etc/group</filename>. |
| 250 |
Solamente a aquellos que realmente se necesiten en este grupo deben ser |
| 251 |
agregados. Es también posible usar un método de |
| 252 |
autentificación tal como Kerberos, utilizar el fichero <filename> |
| 253 |
.k5login</filename> en la cuenta <username>root</username> para permitir |
| 254 |
a &man.ksu.1; que <username>root</username> no necesite a nadie en el |
| 255 |
grupo <groupname>wheel</groupname>. Esta puede ser una mejor |
| 256 |
solución puesto que el meanismo de <groupname>wheel</groupname> |
| 257 |
todavía permite al intruso romper <username>root</username>, |
| 258 |
si el intruso ha conseguido quebrar el archivo de contraseñas |
| 259 |
y el grupo del staff. Mientrás que usar el mecanismo de |
| 260 |
<groupname>wheel</groupname> es mejor que no tener nada en lo absoluto, |
| 261 |
no es necesariamente la opción mas segura.</para> |
| 262 |
|
| 263 |
<para>Una manera indirecta de asegurar las cuentas del staff y usar el |
| 264 |
acceso a <username>root</username> de ultima instancia es usar un |
| 265 |
método de acceso alternativo conocido como <quote>starring</quote>. |
| 266 |
Este método marca las contraseñas cifradas con un solo |
| 267 |
<quote><literal>*</literal></quote>. Este comando pondra al dia el |
| 268 |
fichero de <filename>/etc/master.passwd</filename> y la base de datos |
| 269 |
de usuario/contraseña para desabilitar los logins con |
| 270 |
autentificación de contraseña.</para> |
| 271 |
|
| 272 |
<para>Una cuenta del staff como esta:</para> |
| 273 |
|
| 274 |
<programlisting>foobar:R9DT/Fa1/LV9U:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh</programlisting> |
| 275 |
|
| 276 |
<para>Debe ser cambiado a:</para> |
| 277 |
|
| 278 |
<programlisting>foobar:*:1000:1000::0:0:Foo Bar:/home/foobar:/home/local/bin/tcsh</programlisting> |
| 279 |
|
| 280 |
<para>Este cambio evitará que las conexiones normales ocurran, ya que |
| 281 |
la contraseña cifrada nunca coincidirá con <quote><literal> |
| 282 |
*</literal></quote>. Habiendo hecho esto, los miembros del staff deberán |
| 283 |
usar otros métodos de autentificación como &man.kerberos.1; |
| 284 |
o &man.ssh.1;, usando public/private keys. Al usar algo como Kereberos, |
| 285 |
uno debe asegurar generalmente las máquinas que corran los |
| 286 |
servidores Kereberos, asi como también su estación de trabajo. |
| 287 |
Al usar public/private keys con ssh, uno debe asegurar generalmente la |
| 288 |
máquina usada para hacer el login (generalmente una estación |
| 289 |
de trabajo). Una capa adicional de protección se puede agregar |
| 290 |
a los public/private keys protegiendo con contraseña al momento de |
| 291 |
crearlo con &man.ssh-keygen.1;. Pudiendo <quote>marcar</quote> las |
| 292 |
contraseñas de las cuentas del staff también garantiza |
| 293 |
que los miembros del staff pueden solamente accesar el sistema por medio |
| 294 |
de un método seguro. Esto forza a los miembros del staff a accesar |
| 295 |
el sistema usando solamente formas seguras y conexiones cifradas para |
| 296 |
todas sus sesiones, lo que cierra un hoyo importante usado por muchos |
| 297 |
intrusos.</para> |
| 298 |
|
| 299 |
|
| 300 |
|
| 183 |
</chapter> |
301 |
</chapter> |
| 184 |
|
302 |
|
| 185 |
<!-- |
303 |
<!-- |