5/11/2018 Curso Seguridad Ubuntu - slidepdf.com
http://slidepdf.com/reader/full/curso-seguridad-ubuntu 1/15
Seguridad en GNU/Linux
Ubuntu Server 8.10Instructor:
CLP Edwind García
5/11/2018 Curso Seguridad Ubuntu - slidepdf.com
http://slidepdf.com/reader/full/curso-seguridad-ubuntu 2/15
Contenido
Instalacion de Ubuntu Server 8.10
Seguridad en Gestor de Arranque (GRUB)
Politicas de Contraseñas
Apache con Seguridad SSL
VPN's en GNU/Linux Construir Firewalls con IPTABLES
Secure Shell - OpenSSH
5/11/2018 Curso Seguridad Ubuntu - slidepdf.com
http://slidepdf.com/reader/full/curso-seguridad-ubuntu 3/15
Asegurando GRUB
GRUB es el gestor de arranque actualmentemas difundido en Distribuciones de GNU/Linux
Aunque grub nos permite iniciar varios
sistemas operativos, por defecto nos permitemodificar los parametros de arranque delkernel de Linux
Para evitar cambios no autorizados en lasconfiguraciones del gestor de arranques se lepuede asignar una contraseña.
5/11/2018 Curso Seguridad Ubuntu - slidepdf.com
http://slidepdf.com/reader/full/curso-seguridad-ubuntu 4/15
Asignar Contraseña a GRUB
1.Se debe ejecutar la instruccion ”grub” comousuario root: $ sudo grub
2.Se cifra la contraseña en MD5:
grub > md5crypt 3.Se escribe la contraseña a cifrar y nos las
entrega por pantalla. Ejemplo:Encrypted: $1$ex6y3/$QqSRkesVmgunFbW1o7QGv0
4.Editamos el archivo /boot/grub/menu.lst
5.Agregamos la linea:password --md5 [clave cifrada]
5/11/2018 Curso Seguridad Ubuntu - slidepdf.com
http://slidepdf.com/reader/full/curso-seguridad-ubuntu 5/15
Asegurando GRUB
6.Tambien debemos bloquear el acceso a modosingle user , para eso añadimos la linea:lockalternative=true
7.Guardamos los cambios realizados yprocedemos a actualizar GRUB:$ sudo update-grub
8.Es recomendable cambiarle los permisos amenu.lst de forma tal que solo el superusuariotenga acceso:$ sudo chmod 700 /boot/grub/menu.lst
5/11/2018 Curso Seguridad Ubuntu - slidepdf.com
http://slidepdf.com/reader/full/curso-seguridad-ubuntu 6/15
Politicas de Contraseñas
Las politicas de contraseñas son necesariaspara reducir riesgos de seguridad.
Se recomienda el cambio periodico de lascontraseñas por parte de los usuarios.
Ninguna cuenta del sistema debe poseer
passwords en blanco, ya que eso pone enriesgo la seguridad.
5/11/2018 Curso Seguridad Ubuntu - slidepdf.com
http://slidepdf.com/reader/full/curso-seguridad-ubuntu 7/15
Politicas de Contraseñas
Para verificar si hay cuenta sin contraseñaejecutamos: $ grep -v ':x:' /etc/passwd
Para configurar las opciones generales para el
cambio de contraseña editamos el archivo /etc/login.defs
Los parámetros que podemos modificar son lossiguientes: PASS_MAX_DAYS
PASS_MIN_DAYS
PASS_WARN_AGE
5/11/2018 Curso Seguridad Ubuntu - slidepdf.com
http://slidepdf.com/reader/full/curso-seguridad-ubuntu 8/15
Politicas de Contraseñas
Tambien es recomendable que el sistemaalmacene n cantidad de contraseñas yautilizadas.
Es importante que se valide la robustez de lacontraseña utilizada.
Para mejorar la gestion de seguridad encontraseñas podemos instalar cracklib.$ sudo aptitude install libpam-cracklib$ sudo update-cracklib
5/11/2018 Curso Seguridad Ubuntu - slidepdf.com
http://slidepdf.com/reader/full/curso-seguridad-ubuntu 9/15
Configuraciones de CrackLib
Debemos editar el archivo: /etc/pam.d/common-password
Debe quedar de la siguiente forma:
password required pam_cracklib.so retry=3 \ minlen=8 dfork=1 lcredit=0 ucredit=1 \ dcredit=1 ocredit=2
password requisite pam_unix.so use_authtok \ obscure md5 remember=12
5/11/2018 Curso Seguridad Ubuntu - slidepdf.com
http://slidepdf.com/reader/full/curso-seguridad-ubuntu 10/15
Configuraciones de CrackLib
En el ejemplo anterior se hace lo siguiente:
Longitud minima de contraseña de 8 caracteres
Al menos un caracter debe ser diferente alpassword anterior.
El parametro obscure obliga a las siguientesvalidaciones adicionales:
Que no sea demasiado simple Que sea una version similar al password anterior
(mayusculas, minusculas, letras rotadas, o clave ala inversa)
5/11/2018 Curso Seguridad Ubuntu - slidepdf.com
http://slidepdf.com/reader/full/curso-seguridad-ubuntu 11/15
Configuraciones de CrackLib
El parametro remember=12, permite que serecuerden las ultimas 12 contraseñas utilizadaspor el usuario.
Existen otras alternativas a cracklib, como por ejemplo libpam-passwdqc, aunque es masconfigurable es menos utilizada hoy en dia.
5/11/2018 Curso Seguridad Ubuntu - slidepdf.com
http://slidepdf.com/reader/full/curso-seguridad-ubuntu 12/15
Verificar estado de Usuarios
Para verificar la informacion del estado de cadausuario a nivel de contraseñas utilizamos elsiguiente comando:
# chage -l nombreusuario
Para los usuarios ya creados podemos
modificar esos valores con ese mismocomando.
5/11/2018 Curso Seguridad Ubuntu - slidepdf.com
http://slidepdf.com/reader/full/curso-seguridad-ubuntu 13/15
Gestion de Acceso
Despues de 3 intentos fallidos esrecomendable bloquear la cuenta del usuariopara los siguientes 30 segundos.
Para realizar esta configuracion se utiliza elmodulo 'pam-tally' editando el archivo'/etc/pam.d/common-auth'
5/11/2018 Curso Seguridad Ubuntu - slidepdf.com
http://slidepdf.com/reader/full/curso-seguridad-ubuntu 14/15
Gestion de Acceso
Contenido de /etc/pam.d/common.auth
auth required pam_tally.so onerr=succeed \ deny=3 unlock_time=30 per_user
auth sufficient pam_unix.so
auth required pam_deny.so
account required pam_tally.so \ onerr=succeed
Top Related