monster    Nautopia    forum

  

ANILLO     CONTACTAR     CULTURALIA       DOWNLOADS     KIOSKO      FORO         HOME
 

 Translate 
 
 

por idoru (conde0)  conde0 @ telefonica.net_QUITAESTO

 

LINUX: ASEGURANDO UNA ESTACION DE TRABAJO

Demonios (daemons)

 

I. Introducción

En Unix, se llama demonios a los programas que ponen puertos (sockets) a la espera de comunicaciones. Como Linux está preparado para trabajar en red, puede que tengamos activados demonios como NFS, RPCBIND o Apache que, mal configurados, pueden ser una puerta abierta a nuestro sistema. Los dos primeros demonios ya los hemos desactivado desde Yast; vamos a desactivar el resto.

Todos estos cambios se tienen que hacer como root, así que, antes que nada, escribimos desde la consola (ventana donde introducimos comandos, en modo texto, sin imágenes):

          $su root

          Password:******

 

y para editar un archivo ejecutamos uno de los editores que tenemos, el vi, añadiendo el camino (path) del fichero en cuestión.

          $vi /etc/inetd.conf

*$ es el puntero (indica el comienzo de una línea de comandos).

 

Cuando queramos escribir, pulsamos INSERT, y para cerrar y grabar los cambios pulsamos la tecla que está encima de CTRL (la flecha vertical) + ALT + : y escribimos wq

 

 

II. Archivo inetd.conf

El archivo /etc/inetd.conf contiene los demonios que se deben activar cuando iniciemos Linux. No es conveniente desactivarlo porque es necesario para dar formato a las MAN pages (páginas de ayuda de los comandos). En inetd.conf encontraremos líneas como ésta:

          echo stream tcp nowait root internal

Que activa el servidor de echo del kernel

 

          ftp stream tcp nowait root /usr/sbin/tcpd wu.ftpd -a

Que activa el demonio wu.ftpd. Como normalmente no serán necesarios estos servicios, comentamos todas las entradas que aparecen en el archivo poniendo un # delante (así aparecen como comentarios y no se ejecutarán).

 

 

III. Archivo rc.config

Este es el archivo de configuracion central de SUSE. En el podemos ademas de desactivar algunos demonios tambien añadir algunas opciones de seguridad al kernel.

Estas son las opciones que vamos a modificar, teniendo en cuenta que queremos nuestro sistema trabaje como una estación de trabajo (workstation) y no como un servidor de red, web, ftp, ...

 

          MAIL_LEVEL="warn"

Así sólo nos alertará por correo cuando haya fallos.

 

         START_LOOPBACK="no"

         IP_TCP_SYNCOOKIES="yes"

No activamos la interfaz localhost (loopback) y activamos la protección contra ataques de denegación de servicio (D.O.S.) de tipo syn flooding.

 

          IP_FORWARD="no"

Si nuestro PC no es un router ni un bouncer lo desactivamos.

 

          SMTP="no"

Inicia el demonio smtp sendmail.

 

          START_NAMED="no"

Inicia el servidor de nombres BIND (named).

 

          CWD_IN_ROOT_PATH="no"

          PASSWD_USE_CRACkLIB="yes"

          START_NSCD="no"

Paramos el servicio de cache de nombres.

 

          ROOT_LOGIN_REMOTE="no"

Impide que nadie entre en nuestro sistema como usuario root remotamente.

 

          START_AUTOFS="no"

          START_LPD="no"

Desactivamos el daemon de la impresora.

 

          NFS_SERVER="no"

Desactivamos el servidor de NFS (Network Filesystem).

 

          START_PORTMAP="no"

          START_YPBIND="no"

Desactiva NIS. Se usa junto con NFS para distribuir sistemas de ficheros remotamente.

 

          START_SSHD="no"

          START_HTTPD="no"

          START_DHCPD="no"

          START_IRCD="no"

Los desactivamos ya que no somos un servidor SSH, web, DHCP ni de IRC.

 

          START_LDAP="no"

          START_PROFTPD="no"

          START_SAMBA="no"

          START_SNMPD="no"

Con esto desactivamos LDAP, el servidor FTP, el servidor de ficheros y el demonio del protocolo SNMP.

 

          START_ZEBRA="no"

          START_BGPD="no"

          START_RIP="no"

          START_RPNG="no"

          START_OSPFD="no"

          START_OSPF6D="no"

Con esto desactivamos los demonios de los diferentes protocolos de ruteo.

 

          START_INN="no"

          START_RADIUSD="no"

Servidor de news y radius.

 

          START_RSTATD="no"

Esto es un servicio RPC. Lo desactivamos porque, como todos, dan informacion del sistema o permiten un acceso directo a él.

 

           START_NESSUSD="no"

Activamos o desactivamos el demonio Nessus. Es un programa para buscar vulnerabilidades.

 

          START_SCANLOGD="no"

No es necesario ya que luego instalaremos Iptables. Permite registrar los escaneos de puertos que nos hacen.

 

          START_SNORT="no"

          START_MYSQL="no"

          START_RWHOD="no"

Desactivamos snort (sniffer), la base de datos mysql y el servicio RPC rwho.

 

Ya está. Hecho esto ejecutamos en consola:

          $/sbin/SuSeconfig

 

y los cambios tendrán efecto. Si ejecutamos:

          $netstat -a | grep LISTEN

podremos ver los puertos que tenemos abiertos, que se limitarán a unos pocos.

El siguiente paso es filtrarlos. Para ello instalaremos Iptables, pero antes hay que recompilar el Kernel.

 

 

 
 

 
 
 

NAUTOPIA © 2002. Reservados todos los derechos.