La Fundación Linux publica un checklist de seguridad para administradores de sistemas

lartLa Fundación Ĺinux ha publicado el conjunto de directrices que deben cumplir sus administradores de sistemas y empleados, para mantener la seguridad de su infraestructura y reducir los riesgos de un ataque.

Son unos consejos de seguridad interesantes, que se pueden adaptar a las necesidades de diferentes proyectos a través de su lista de verificación que abarca varios niveles de seguridad: crítico, moderado, bajo y paranoico (en este último caso, son recomendaciones que mejoran sustancialmente la seguridad, pero que también requieren un elevado trabajo de adaptación a la hora de interactuar con el sistema operativo).

En general se trata de buscar un equilibrio entre la seguridad y la facilidad de uso.

Entre las recomendaciones nos encontramos las referidas a la elección de hardware, en especial el soporte de SecureBoot y UEFI (algo que entraría en la categoría de nivel crítico), aunque también se tiene en consideración la alternativa de Anti Evil Maid, una herramienta que impide que se carguen elementos no deseados (bootkit) durante el arranque.

También se sugiere el uso de sistemas que no contengan puertos Expresscard, firewire o conectores Thunderbolt para evitar el acceso a la memoria del sistema y con chip criptográfico TRM a poder ser.

Se recomienda la elección de distribuciones que tengan habilitado Mandatory Access Controls (MAC) o Role-Based Access Controls (RBAC), mecanismos que limitan la capacidad de los usuarios y establecen roles para acceder a determinadas partes del sistema o realizar determinadas acciones. También el uso de suites de seguridad como AppArmor, SeLinux o GrSecurity/Pax (el autor de este trabajo Konstantin Ryabitsev la considera superior a SeLinux).

Hablando de distros se desaconsejan los spin-offs o variantes comunitarias, ya que es habitual que se retrasen las actualizaciones de seguridad respecto a la distro madre.

El cifrado de disco completo mediante LUKS es otro de esos requisitos imprescindibles. Es imperativo un password o passphase lo suficientemente robusta y prestar especial atención a la particion de intercambio (swap) que también debe ser cifrada, ya que pueden contener datos sensibles.

La partición /boot no es imperativo encriptarla (es posible… pero no se suele hacer para no complicar el arranque del sistema), y dado que no hay datos importantes en la misma , ese tema estaría cubierto por SecureBoot.

Firefox es la opción recomendada para acceder exclusivamente a webs relacionadas con nuestro trabajo. Al navegador de Mozilla lo deben acompañar sus complementos NoScript, Privacy Badger, HTTPS EveryWhere y Certificate Patrol.

A la hora de boludear o pasar el rato en otras webs, lo mejor es tirar de Chrome/Chromium.

También se plantea el uso de maquinas virtuales para separar la actividad laboral de la personal, en especial se menciona el uso de Qubes para proveer ese aislamiento.

Otras recomendaciones que nos podemos encontrar en este checklist, hacen referencia a la seguridad de los firewalls, a servicios como sshd que debe estar deshabilitados por defecto, utilización de gestores de contraseñas (KeePassX), cifrado GPG/PGP, echar un vistazo a los logs, hacer backups utilizando sitios como spideroak (por aquello del “cero conocimiento”), la posibilidad de instalar un detector de rootkits como Rkhunter, o un sistema de detección de intrusos tipo aide o tripwire.

Si queréis más información sobre como fortalecer la seguridad de vuestros sistemas o simplemente conocer las políticas de IT de la Fundación Linux, podéis consultar el checklist completo en GitHub.

Fuente | Konstantin Ryabitsev (Director of Collaborative IT Services at The Linux Foundation)

Imagen | floheinstein (CC BY-SA 2.0)

10 thoughts on “La Fundación Linux publica un checklist de seguridad para administradores de sistemas”

  1. carlosky77 says:

    -Configurar firewall…..listo
    -Firefox con los plugins NoScript, Privacy Badger, HTTPS EveryWhere y Certificate Patrol…. listo
    -Contraseña de 48 caracteres de largo como mínimo…. listo
    -Encriptar con LUKS …. listo
    -Dejar de ver porno en la web por contener virus ….. ni cagando

    1. tannhausser says:

      Cuando dicen lo de combinar facilidad de uso con seguridad, es posible que se refieran a ese último punto que mencionas XD

  2. victorhck says:

    interesante…….

    PS: ¿boludear? WTF?? Che, algo se te está pegando 😉

    1. tannhausser says:

      es lo que pasa cuando te echas una novia argentina 🙂

  3. fracielarevalo says:

    me parece muy apropiada estas medidas de seguridad implementadas por linux

  4. Livingstone says:

    Disculpa mi ignorancia, Por que deshabilitar los Firewalls y sshd.

    Saludos.

    1. tannhausser says:

      Lo de sshd es para impedir conexiones ssh y que puedan acceder como root de forma remota (ataques de fuerza bruta y cosas por el estilo), digamos que se deshabilita de forma automática pero se puede habilitar en cualquier momento que sea necesario.

      Y no son firewalls (que claro que tienen que estar activos) sino firewire lo que se deshabilita. Son una especia de conectores similares a los puertos USB que utilizaba Apple en sus modelos y hace poco sustituyó por los Thunderbolt, más potentes.

      Yo la primera vez que lo leí, también pensé “deshabilitar Firewalls? WTF!”

      Saludos

      1. Livingstone says:

        Gracias por tu pronta respuesta, ya me quedo claro, mas que todo lo decía por el FireWall ya que el penúltimo párrafo se comenta eso.

        Saludos.

  5. msx says:

    “A la hora de boludear…”

    QUE BERRETA CARAJO, QUE HAGO ACA!?

    1. tannhausser says:

      gritar?

Deja un comentario