Guia de Aseguramiento Linux SGD07 (App Server Oracle)
-
Upload
sergio-gonzalez -
Category
Documents
-
view
261 -
download
2
description
Transcript of Guia de Aseguramiento Linux SGD07 (App Server Oracle)
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 1/21
CONTENIDO
PROCEDIMIENTOS DE ASEGURAMIENTO
1. Backup de la configuración
2. Seguridad al encender o reiniciar el servidor
3. Seguridad del Sistema Operativo
4. Administración de contraseñas
5. Integridad de archivos
6. Seguridad en comunicaciones
7. Configuración de los servicios de red
8. Configuración del FINGER
9. Configuración del TFTP
10. Configuración del VS FTP
11. Open SSH
12. Exposición de la información
13. Manejo de logs y registros
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 2/21
14. Cuotas de disco
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 3/21
NOMBRE DEL SERVIDOR SGD07 FECHA DEL ASEGURAMIENTO:__23-08-2010___HORA INICIO:______18:32_________HORA FIN:_________19:30__________________
DIRECCIÓN IP INTERNA 172.16.10.30
DIRECCION IP PUBLICA (Si Aplica) N/A
DIRECCION WEB N/A
FUNCIÓN DEL SERVIDOR Application Server de Oracle
RESPONSABLE SERVIDOR Luis Alejandro Vargas
SISTEMA OPERATIVO INSTALADO Redhat Enterprise 5.4
PARCHES APLICADOS AL SERVIDOR Ultima actualización
APLICACIONES ADICIONALES INSTALADAS N/A
Procedimientos de Aseguramiento
Tema: 1. Backup del servidorEjecutada/Exitosa
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
SI SI Backup del equipo
Se debe realizar un Backup de los archivos a modificar del equipo por parte de los administradores del mismo.
Realizar un backup de los archivos a modificar del equipo y guardarlo en un lugar seguro
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 4/21
Tema: 2. Seguridad al encender o reiniciar el servidorEjecutada/Exitosa
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
No NoSolicitud de Clave al iniciar la máquina
En la BIOS de la máquina es necesario asignar una clave que sea solicitada siempre que la máquina se encienda o reinicie. ya que se podría usar un Disquete de inicio de Windows y borrar las particiones , ó se podría intentar hacer lo mismo cn un CD.
Al iniciar la máquina, siga las instrucciones del computador para ingresar a la BIOS
Ubique la opción de asignación de contraseñas
Cambie la contraseña de inicio de la máquina y la de acceso a la BIOS.
No NoRestringir el inicio por Floppy o cdrom
Dado que Linux puede ser reiniciado con un disco de rescate, o con un disco de instalación, es necesario eliminar esta posibilidad para prevenir acceso no autorizados como superusuario
Al iniciar la máquina, siga las instrucciones del computador para ingresar a la BIOS
Ubique la opción que discrimina los dispositivos con que se puede iniciar la máquina y su orden.
Deje esta opción en “Disco C Únicamente” (“C Only”)
SI Si
Deshabilitar la opción de reiniciar la máquina con las teclas ctrl-alt-del
Cualquier usuario puede reiniciar la máquina presionando ctrl-alt-del. Esto es inconveniente.
Editar el archivo /etc/inittabComentar la línea como sigue:
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
Reiniciar con el comando init q para reiniciar el demonio.No No Solicitar
clave al pasar parámetros a Lilo
Cualquier usuario puede iniciar la máquina en modo single utilizando el comando “linux single” en el prompt de Lilo, para restringir esto a usuarios de confianza, se debe solicitar una clave que permita hacerlo.
Editar el archivo /etc/lilo.confAñadir las siguientes lineas (antes de la sección de arranque):
RestrictedPassword=”<Digite su clave aqui>”
Reiniciar Lilo
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 5/21
Tema: 2. Seguridad al encender o reiniciar el servidor
/sbin/lilo
Nota: No se aplica este control debido a que el servidor no tiene instalado lilo.
No NoSolicitar clave al pasar parámetros al Grub
Cualquier usuario puede iniciar la máquina en modo single utilizando el comando “linux single” en el prompt de Grub, para restringir esto a usuarios de confianza, se debe solicitar una clave que permita hacerlo.
Para colocar la contraseña al gestor de arranque Grub, se generarun hash a partir de una palabra clave:
grub-md5-crypt Password: *********** Retype Password: ***********# $1$q19Yf1$fV0t8Dr1rjMtxNytKUXy5/
Luego edite el archivo de configuración de grub/boot/grub/menu.lst
y luego del segmento “timeout” anexar la líneapassword --md5 $1$q19Yf1$fV0t8Dr1rjMtxNytKUXy5
No NoAcceso al archivo /etc/lilo.conf
Cuando se haya terminado de configurar correctamente el lilo, cambiarle los permisos para que quede sólo accesible por root
chmod 700 /etc/lilo.conf
chattr +i /etc/lilo.conf
Nota: No se aplica este control debido a que el servidor no tiene instaldo lilo.
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 6/21
Tema: 2. Seguridad al encender o reiniciar el servidor
No NoAcceso al archivo /etc/grub.conf
Cuando se haya terminado de configurar correctamente el lilo, cambiarle los permisos para que quede sólo accesible por root
chmod 700 /boot/grub/grub.conf
chattr +i /boot/grub/grub.conf
Tema: 3. Seguridad del Sistema OperativoEjecutada/Exitosa
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Si SiUbicación de binarios con permisos de setuid
Archivos ejecutables que tienen activado el bit de setuid para tomar temporalmente permisos de root
find / -type f \( -perm -04000 -o -perm -02000 \) > lista.txt
Una vez obtenida la lista de binarios con setuid, cambiar los permisos:
Chmod –s <binario>
SI SiEjecutables solo disponibles para root
Algunos de los programas sólo deben estar disponibles para ejecución por parte del root
chmod 700 /usr/bin/gccchmod 700 /usr/bin/chattrchmod 700 /usr/bin/wchmod 700 /usr/bin/whochmod 700 /usr/bin/lastchmod 700 /usr/bin/lastbchmod 700 /usr/bin/lastlogchmod 700 /bin/chmodchmod 700 /bin/chownchmod 700 /bin/chgrp
chmod 700 /bin/rpmchmod 700 /bin/dmesg
chmod 700 /sbin/ipchainschmod 700 /sbin/iptableschmod 700 /sbin/sysctlchmod 700 /sbin/shutdown
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 7/21
Tema: 3. Seguridad del Sistema Operativochmod 700 /sbin/rebootchmod 700 /sbin/haltchmod 700 /sbin/poweroff
SI Si
Colocar atributo de inmutables a algunos archivos
Algunos de los archivos críticos deben tener el atributo de inmutables para prevenir que éstos sean alterados indiscriminadamente
chattr +i /bin/loginchattr +i /bin/rpmchattr +i /bin/pschattr +i /bin/ls
chattr +i /etc/shadowchattr +i /etc/passwdchattr +i /etc/group
Por supuesto, para agregar una nueva cuenta, deberá quitar el atributo a /etc/passwd, /etc/shadow y /etc/group
Si SIRemover las cuentas de usuario no necesarias
Cuentas existentes en la máquina y que no son utilizadas deben ser eliminadas.
userdel -r uucpuserdel -r operatoruserdel -r ftpuserdel -r gopheruserdel -r gamesuserdel -r news
Si SiEjecución de archivos de arranque de Linux
Estos deben ser restringidos sólo al usuario root
cd /etcchmod 700 rc.d
cd rc.dchmod 700 *
cd init.dchmod 700 *
Si SiEjecución de archivos de cron
Estos deben estar restringidos sólo al root
chmod 700 /etc/cron.hourlychmod 700 /etc/cron.dailychmod 700 /etc/cron.weeklychmod 700 /etc/cron.monthly
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 8/21
Tema: 3. Seguridad del Sistema Operativo
Si Si/var/log solo debe poder ser leído por el root
/var/log contiene todos los archivos de log, y éstos deben tener permisos de lectura sólo para el root
chmod 700 /var/log
chmod 600 /var/log/messageschmod 600 /var/log/dmesgchmod 600 /var/log/boot.logchmod 600 /var/log/lastlogchmod 600 /var/log/rpmpkgs
Si SiRutas de archivo (PATH)
Chequear que “.” No se encuentra en el PATH
echo $PATH
Revisar que “.” No se encuentre en $PATH
Si se encuentra, removerlo.
Si SiAcceso como root al sistema
El sistema no debe permitir el acceso de root de manera remota.
En /etc/securetty puede listar desde donde está permitido realizar login de root. Los nombres son de la siguiente forma:
tty* : localttyp*: remotottyS*: remotovc/* : Consolas Virtuales (alt + F2, alt + F3, ...)
Para restringir, simplemente comente la línea correspondiente
Por ejemplo:
consoletty1tty2#tty3#tty4#tty5#tty6#ttyS0#ttyS
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 9/21
Tema: 3. Seguridad del Sistema Operativo#ttyS2#ttyS3#ttyp0#ttyp1#ttyp2#ttyp3
No NoLimitar permisos y procesos a usuarios
En /etc/security/limits.conf, configurar limites a los procesos y evitar el “core dump”
Editar /etc/security/limits.conf
“grupo” es el grupo de usuarios a quien se les van a aplicar los límites
hard core 0* hard rss 10000@grupo hard data 131072@grupo hard memlock 41926@grupo hard nproc 40@grupo hard maxlogins 2 @grupo hard nofile 20@grupo hard fsize 50000
editar /etc/pam.d/login y añadir la siguiente linea:session required /lib/security/pam_limits.so
Si Si
Restricción de la utilización del comando “su”
Restringir a cierto grupo específico (wheel es recomendado) la utilización del comando su
/bin/chgrp wheel /bin/su /bin/chmod 4750 /bin/su
Añadir la siguiente línea al archivo /etc/pam.d/su
auth required /lib/security/pam_wheel.so use_uid
o
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 10/21
Tema: 3. Seguridad del Sistema Operativo
auth required /lib/security/$ISA/pam_wheel.so use_uid
Añada cualquier otro grupo de usuarios de confianza al grupo wheel.
Si Si Creación de archivos
Asignar los permisos de usuario para la creación de archivos por defecto
Editar el archivo de shell por defecto(si es bash, editar /etc/bashrc, si es cst o tcsh; editar /etc/cshrc) y añadir la siguiente línea:
umask 077
Si SiAñadir Timeout de Sesión
Una sesión inactiva deberá cerrarse automáticamente después de cierto tiempo
Añadir la siguiente línea al archivo /etc/profile:
TMOUT=300
Tema: 4. 1.1.1.3 Administración de ContraseñasEjecutada/Exitosa
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
SI Si Cambio de Clave
Hacer que los usuarios cambien su clave periódicamente y con longitud minima
Configurar las siguientes líneas en el archivo /etc/login.defs:
PASS_MAX_DAYS 20PASS_WARN_AGE 5
PASS_MIN_LEN 8
Tema: 5. Integridad de ArchivosEjecutada/Exitosa
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Si Si Revisión de todos los programas
Cotejar los programas en ejecución contra sus firmas md5 según la base de datos rpm
rpm -Va >> system.txt
En el archivo resultante, las letras iniciales en cada línea
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 11/21
Tema: 5. Integridad de Archivos
instalados
tienen el siguiente significado:
S = Tamaño de archivo cambiadoM = Modo de archivo cambiada5 = la firma md5 es diferenteD = major/minor del dispositivo no concuerdaU = Usuario dueño no concuerdaG = Grupo dueño no concuerdaT = Diferencia de Mactime
Si Si Protección del Crontab
Restringir los usuarios que tienen derecho de utilizar el crontab
touch /etc/cron.allowchmod 600 /etc/cron.allowecho "root" >> /etc/cron.allow
Incluir todos los usuarios que pueden utilizar el crontab.
Tema: 6. Seguridad en ComunicacionesEjecutada/Exitosa
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Si Si Protección SYN
Activar la protección contra escaneos de puertos que utilizan la táctica de señalización SYN
echo 1 >/proc/sys/net/ipv4/tcp_syncookies
Si Si Enrutamiento Deshabilitar el enrutamiento de paquetes originados en otros hosts
for f in /proc/sys/net/ipv4/conf/*/accept_source_route; doecho 0 > $fdone
Si Si Filtrado de paquetes
Desconocer todos los paquetes cuya dirección no concuerde con la red de la interface por donde llega y guarde log del evento
for f in /proc/sys/net/ipv4/conf/*/rp_filter; doecho 1 > $fdone
for f in /proc/sys/net/ipv4/conf/*/log_martians; doecho 1 > $fdone
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 12/21
Tema: 6. Seguridad en Comunicaciones
Si Si Broadcast Ping
Deshabilitar la respuesta a peticiones de broadcast ping , sin embargo hágalo en un ambiente de prueba ya que se pueden presentar problemas s i va a usar el servicio WINS.
/sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
Si SiPaquetes ICMP Malformados
No responder a paquetes ICMP malformados /sbin/sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
Si Si ICMP Redirect Deshabilitar redirección de ICMP echo 0 >/proc/sys/net/ipv4/conf/all/accept_redirectsecho 0 >/proc/sys/net/ipv4/conf/all/send_redirects
Si Si ICMP Timestamp
Deshabilitar las respuestas a ICM Timestamp echo 0 >/proc/sys/net/ipv4/tcp_timestamps
Si Si Denegación del Servicio
Reducir la susceptibilidad de ataques de denegación del servicio manejando los timeouts
echo 30 >/proc/sys/net/ipv4/tcp_fin_timeoutecho 1800 >/proc/sys/net/ipv4/tcp_keepalive_timeecho 0 >/proc/sys/net/ipv4/tcp_window_scalingecho 0 >/proc/sys/net/ipv4/tcp_sack
Tema: 7. Configuración de los servicios de RedEjecutada/Exitosa
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Si Si /etc/services Este archivo debe tener permisos 644 Ejecute el comando “chmod 644 /etc/services”
Si Si /etc/services Este Archivo debe ser propiedad de root Ejecute el comando “chown root /etc/services”
Si Si /etc/services Este archivo debe pertenecer al grupo root Ejecute el comando “chgrp root /etc/services”
Si Si /etc/rc.dSolo deben estar los scripts de arranque de los servicios necesarios para la función que cumple el sistema
Para cada servicio innecesario proceda de la siguiente manera:-Edite el archivos referente al servicio innecesario .-Agregue la linea “Exit 0” al principio del script.-Guarde los cambios
O
Utilizar el comando ntsysv –level 35 o ntsysv –level 3 ( según
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 13/21
Tema: 7. Configuración de los servicios de Redel nivel de arranque por defecto ) y dejar solo . crond networksyslog
Los demás servicios deben ser iniciado por el administrador del sistema.
Se cambiaron
CupsPcmciaSmartdKudzuIsdn
N/A N/A /etc/xinetd.d/Dentro de este directorio se estan ubicados los servicios que se encuentran en ejecución en el servidor.
-Entre como root al directorio /etc/xinetd.d y busque que servicio desea deshabilitar , por ejemplo si desea deshabilitar el servicio echo abra el archivo /etc/xinetd.d/echo
#vi /etc/xinetd.d/echo
# default: off# description: An echo server. This is the tcp \# version.service echo{ disable = yes type = INTERNAL id = echo-stream socket_type = stream protocol = tcp user = root
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 14/21
Tema: 7. Configuración de los servicios de Red wait = no}
Y en la linea donde aparece disable=no , cambiela por disable=yes , luego reinicie xinetd escribiendo el siguiente cmando
#/sbin/service xinetd restart
N/A N/A /etc/xinetd.conf Este archivo debe tener permisos 600 Ejecute el comando “chmod 600 /etc/xinetd.conf”
N/A N/A /etc/xinetd.conf
Este Archivo debe ser propiedad de root Ejecute el comando “chown root /etc/xinetd.conf”
N/A N/A /etc/xinetd.conf
Este archivo debe pertenecer al grupo root Ejecute el comando “chgrp root /etc/xinetd.conf”
Tema: 8. Configuración del FINGEREjecutada/Exitosa
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
N/A N/A /etc/xinetd.d/finger Verificar la necesidad del servicio.
Si no se requiere el servicio de FINGER, debe ser eliminado según lo explicado en el numeral 1.1.1.6 Configuración de los servicios de red.
N/A N/A Versión del servicio
Verificar que se tiene instalada una versión reciente del servicio.
Descargar una versión reciente que permita controlar problemas conocidos del servicio como el de requerimientos indirectos.
Tema: 9. Configuración del TFTP (Trivial File Transfer Protocol)Ejecutada/Exitosa
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
N/A N/A /etc/xinetd.d/ Verificar la necesidad del servicioSi no se requiere el servicio de TFTP, debe ser eliminado según lo explicado en el numeral 1.1.1.6 Configuración de los servicios de red.
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 15/21
Tema: 10. Configuración del VS FTP ( File Transfer Protocol)Ejecutada/Exitosa
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
No No Verificar la necesidad del servicioSi no se requiere el servicio de FTP, debe ser eliminado según lo explicado en el numeral 1.1.1.6 Configuración de los servicios de red.
No No Versión del servicio
Asegurarse de tener una versión actualizada del servicio
rpm -qa | grep vsftpd
No NoDeshabilitar el usuario anónimo
Editar /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
Nota: Tienen instalado FTP pero no el vsftpd, y al parecer no lo usan.
No No Acceso al servicio
Incluir cuentas que tienen acceso al servicio
-Validar la lista de usuarios que deben tener acceso al servicio de ftp.
Editar /etc/vsftpd/vsftpd.conf y ajustar estos parámetros
local_enable=YES
userlist_enable=YES
userlist_file=/etc/vsftpd/user_list
userlist_deny=NO
dentro de user_list se colocan los usuarios que pueden acceder al ftp
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 16/21
Tema: 10. Configuración del VS FTP ( File Transfer Protocol)
No No FTP Enjaulado Los usuarios que acceden vía FTP al sistema deben quedar confinados a su directorio home y no poderse cambiar a ningún otro directorio
Editar /etc/vsftpd/vsftpd.conf y ajustar estos parámetros
chroot_list_enable=YESchroot_list_file=/etc/vsftpd/chroot_list
Dentro de chroot_list colocar los usuarios que tienen soporte a ftp enjaulado ( todos )
No No FTP banner
Se recomienda cambiar el banner del servicio FTP , para evitar que se pueda identificar fácilmente la versión de ftp que esta manejando el servidor.
Cambie en el archivo Vsftpd.conf las siguientes lineas
ftpd_banner=Welcome to blah FTP service.
Luego cree el banner para el servicio FTP Con un contenido similar al siguiente “Este sistema esta siendo monitoreado permanentemente”
Tema: 11. Open SSHEjecutada/Exitosa
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Si SiEliminar acceso de root
El acceso de root debe ser eliminado editando el archivo /etc/sshd/sshd_config
Editar archivo /etc/ssh/sshd_config
PermitRootLogin = No
Si SiUtilización del protocolo ssh1
Eliminar el uso del protocolo ssh1 en el archivo /etc/sshd/sshd_config
Editar archivo /etc/ssh/sshd_config
Protocol 2No No Ubicación de
hosts que realizan solicitudes
Configurar la detección de los equipos que realizan peticiones al servidor
Editar archivo /etc/ssh/ssh_config
CheckHostIP = Yes
Nota: No se mantiene archivo de hosts
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 17/21
Tema: 11. Open SSH
Si Si Mensaje de ultima sesión
Deshabilitar el mensaje que muestra la información de última sesión iniciada
Editar /etc/ssh/sshd_config
PrintLastLog = No
Tema: 12. Exposición de InformaciónEjecutada/Exitosa
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Si SiInformación de versión de Sistema Operativo
Cambiar la información de /etc/issue y /etc/issue.net
Editar archivos /etc/issue y /etc/issue.net
Reemplazar su contenido
Revisar que estos no sean recreados durante el inicio del sistema, en /etc/rc.d/rc.local
Tema: 13. Manejo de logs y de registrosEjecutada/Exitosa
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
No No Inmutabilidad en los logs.
Agregar la característica de inmutabilidad a los logs, esto se hace para agregar el permiso de solo añadir a los ficheros de log.
Escriba el siguiente comando con privilegios de root#chattr –RV +i +a /var/log
Si Si Herramientas adicionales para el manejo de logs.
Se han creado herramientas que permite n mejorar la seguridad de los logs , se recomienda probar estas herramientas en una red de prueba
Nsyslogd soporta tcp y SSL para enviar el log a sistemas remotos se puede descargar de: http://coombs.anu.edu.au/~avalon/nsyslog.html
Psionic Logcheck navega por los ficheros de mensajes (y otros) a intervalos regulares (normalmente se invoca vía crontab), y envía un
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 18/21
Tema: 13. Manejo de logs y de registroscorreo con un sumario de cualquier actividad sospechosa que se pueda estar presentando http://www.psionic.com/abacus/logcheck/.
Colorlogs colorea los ficheros de logs, lo cual te permite identificar con facilidad actividad sospechosa. Basado en un fichero de configuración, busca palabras clave y colorea las líneas (en rojo, cyan, etc.), recibe la entrada desde STDIN, de modo que se puede utilizar para revisar ficheros de log rápidamente (utilizando "cat", "tail" u otras utilidades para alimentar el fichero de logs a través del programa). Se puede conseguir en: http://www.resentment.org/projects/colorlogs/.
WOTS recolecta ficheros de logs desde múltiples orígenes, y genera informes o toma medidas basándose en lo que le digas que haga. WOTS busca expresiones regulares que se le definan, y después ejecuta los comandos que le listas (enviar un informe, hacer sonar una alerta, etc.). WOTS requiere que tengas instalado perl, y está disponible en http://www.tony-curtis.cwc.net/tools/
Tema: 14. Cuotas de DiscoEjecutada/Exitosa
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 19/21
Tema: 14. Cuotas de Disco
No NoEstablecer cuotas de Disco
Se deben establecer cuotas de Disco para impedir que un usuario en determinadas circunstancias pueda llenar el disco duro del computador o llegar a ocasionar problemas de almacenamiento.
Primeramente se debe decidir que particiones dentro de /etc/fstab se desean tener bajo limite de espacio (cuota). Las palabras clave son: usrquota y grpquota estas dos palabras se especifican en el archivo/etc/fstab de manera que si el archivo contiene
/dev/hda1 / ext2 defaults 1 2/dev/hda5 /home ext2 defaults 1 2
Se deben agregar las palabras:
/dev/hda1 / ext2 defaults,grpquota 1 2/dev/hda5 /home ext2 defaults,usrquota,grpquota 1 2
De esta forma se especifica que sobre las particiones se llevara un limite de uso
Una vez que se realizen estas modificaciones al archivo, se debe modificar el archivo /etc/rc.d/rc.local para que se activen las cuotas bajo las respectivas particiones. Agrege las siguientes lineas
# Revisar la "cuota" y activarla if [ -x /sbin/quotacheck ]; then echo " Revisando Cuotas .... " /sbin/quotacheck -avug echo " Terminado " fiif [ -x /sbin/quotaon ]; then echo " Activando Cuotas ... " /sbin/quotaon -avug echo "Done." Fi
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 20/21
Tema: 14. Cuotas de Disco
No No
Una vez hecho esto , se debe de dar "boot" al servidor o bien ejecutar el archivo /etc/rc.d/rc.local para que sea activada la opción de "cuotas". Esto generará archivos del tipo : quota.user y quota.group en cada directorio de la partición. En el caso anterior, los archivos quedarian asi:
/quota.group/home/quota.user/home/quota.group
El comando edquota determina el uso de cada usario o grupo segun sea el caso bajo las particiones: edquota daniel ,desplegaria lo siguiente en un editor de textos :
Quotas for user daniel:/dev/hda1: blocks in use: 133982, limits (soft = 0, hard = 0)
inodes in use: 1510, limits (soft = 0, hard = 0)/dev/hda6: blocks in use: 13390, limits (soft = 0, hard = 0)
inodes in use: 100, limits (soft = 0, hard = 0)
En el desplegado anterior se puede observar que el usuario "daniel" ya es dueño de varios archivos en las particiones, pero aun no tiene limites.La modificación de este archivo se hace directamente en un editor de textos. El significado de los limites es el siguiente:blocks : Capacidad en KB (4096=4MB | 1024=1MB) softlimit: limite en KB sobre la particion en especifico ("file system") hardlimit: limite absoluto en KB sobre todo el disco inodes : Numero de archivos ("inodes") softlimit: numero máximo de archivos sobre la particion en especifico ("file system") hardlimit: numero máximo de archivos absoluto en todo el disco
GUIA DE ASEGURAMIENTO DE RED HAT ENTERPRISE
CÓDIGO IGT-09-09
VERSIÓN 1
FECHA 21/02/08PAGINA 21/21
Tema: 14. Cuotas de Disco
No No
En dado caso que se requiera imponer estas cuotas a otros usuarios se hace mediante el siguiente comando:#edquota -p daniel -u oracle aol postgres
De esta manera los usuarios oracle aol postgres seran asignados los mismos limites del usuario daniel Si simplemente se desea observar cuanto espacio esta utilizando cada usuario o grupo utilize el comando:
#quota -u daniel o quota -g cvs