Optimizaciones básicas

Color rojo: comandos.
Color fucsia: ejemplos.

Mayor resistencia ante posibles intrusiones vía Internet

Lo primero es decidir cual va a ser la función que va a desempeñar la máquina en cuestión y que servicios se quieren ofrecer al resto del mundo a través de Internet. Si no se está seguro o no se sabe que son estos servicios lo mejor es deshabilitar todos ellos.

Supondré que el usuario utiliza el ordenador en casa para uso personal y que será utlizado para visitar sitios web, leer las news, envío/recepción de correo electrónico, etc.

Para realizar las modificaciones que se explicarán más adelante es necesario tener acceso root (superusuario) a la máquina. Suponiendo que se trata del ordenador que utilizamos en casa, no habrá problemas: el propio usuario es el administrador.

Ejecutaremos el comando netstat y podremos observar un listado de los servicios que actualmente ofrece nuestra máquina. Un ejemplo de la salida en pantalla que nos proporcina el programa sería este:

[root@smhost]$ netstat -a
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 *:6000                  *:*                     LISTEN
tcp        0      0 *:smtp                  *:*                     LISTEN
tcp        0      0 *:printer               *:*                     LISTEN
tcp        0      0 *:linuxconf             *:*                     LISTEN
tcp        0      0 *:auth                  *:*                     LISTEN
tcp        0      0 *:pop-3                 *:*                     LISTEN
tcp        0      0 *:telnet                *:*                     LISTEN
tcp        0      0 *:ftp                   *:*                     LISTEN
raw        0      0 *:icmp                  *:*                     7
raw        0      0 *:tcp                   *:*                     7

Tal como muestra el listado muchas instalaciones activan por defecto muchos servicios, dejando la puerta abierta a posibles intrusos. La mayoría de ellos son una importante fuente de problemas de seguridad y pueden ser desactivados editando el archivo de configuración /etc/inetd.conf.

Hay que editar el archivo /etc/inetd.conf con un editor de textos cualquiera (vi, por ejemplo) y comentar (desactivar) cada una de las lineas que se refieren a los servicios que no deseamos que nuestra máquina ofrezca escribiendo un "#" delante de cada línea (sin comillas). En el caso que no ocupa (un usuario corriente) desactivaríamos todas las líneas, aunque si se quiere ofrecer alguno de los servicios por alguna razón en especial se pueden dejar sin comentar las líneas que interesen.

La próxima vez que se inicie el ordenador la nueva configuración entrará en servicio. Si queremos activar los cambios sin tener que reiniciar el ordenador habrá que teclear la siguiente orden (que funciona en la mayoría de los sistemas) para reiniciar el proceso:

killall -HUP inetd

Al ejecutar de nuevo netstat nos daremos cuenta como el número de servicios activos se han reducido. De todas formas aún quedarán algunosde ellos, tales como sendmail, lpd o snmpd. Estos servicios suelen inicializarse cada vez que el sistema inicia y para desactivarlos habrá que editar los archivos de inicialización del sistema. Estos archivos suelen variar, pero en la mayoría de los casos se encuentran en /etc/init.d o /etc/rc.d, aunque en caso de duda lo mejor es leer la documentación de la distribución de GNU/Linux que se tenga instalada. El propio usuario tendrá que meditar, como en el caso anterior, cuales servicios le hacen falta y cuales no (p.e. lpd permite usar la impresora, por lo cual puede ser imprescindible, etc.).

Asegurando el sistema de X-Window

Las últimas distribuciones de GNU/Linux permiten al usuario arrancar directamente en el Sistema X-Window (en el entorno gráfico) mediante el uso de programas como xdm. Aunque a algunas personas, especialmente a los nuevos usuarios provenientes de entornos Microsoft, les agrade, puede resultar problemático, puesto que el sistema no impide por omisión que cualquier persona desde una máquina remota acceda al login.

Para cambiar esto hay que cambiar la configuración del programa que el sistema use como "login manager". Suponiendo que usamos el xdm habrá que editar el archivo /usr/X11R6/lib/X11/Xaccess (o /usr/X11R6/lib/X11/xdm/Xaccess) y añadir de nuevo "#" en los comienzos de ciertas líneas. Ejemplo de archivo  Xaccess con las líneas activadas:

*         #any host can get a login window
*         #any indirect host can get a chooser

Archivo Xaccess con la líneas desactivadas:

#*         #any host can get a login window
#*         #any indirect host can get a chooser

En caso de utilizar otro "login manager" diferente el archivo de configuración también será distinto. Algunos de estos programas, kdm por ejemplo, utilizan programas de configuración muy visuales y fáciles de manejar (en el caso de kdm el programa de configuración se llama kdmconfig.

Para que los cambios surtan efecto habrá que reiniciar el xdm.

Actualizar el software

Al igual que optimizar el sistema es importante tener el software bien actualizado. Cada poco tiempo se encuentran nuevos errores en los programas que conforman las distribuciones GNU/Linux, algunos son fallos poco importantes, otros en cambio resultan ser grandes agujeros de seguridad.

Aunque para el usuario corriente no es de vital importancia tener la última revisión del software instalada en su equipo, resulta recomendable actualizar cada cierto tiempo los programas más importantes del sistema. Estas actualizaciones se puden encontrar en las páginas web de las compañías que crean las distribuciones de GNU/Linux.

NOTA: La mayor parte del texto de esta sección sobre seguridad ante posibles intrusiones  ha sido extraído, traducido y adaptado del artículo "Securing Linux: The First Steps" publicado en la revista electrónica "Linux Gazette" Nº 47 (Noviembre 99) y su autor, Peter Lukas tiene ,el Copyright (c) del mismo.


Volver a la página sobre linux