os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity
doc/es_ES.ISO8859-1/htdocs/security/security.xml
Hiroki Sato 52f6d56540 - Use /usr/bin/svnlite as SVN if available. 
- Replace /XML/{doc,www}/ with /XML/ in SysId.
- Remove empty stylesheets in share/xsl and point share/xml/empty.xsl via
  XML catalog instead.
- Change the L10N layer in freebsd-*.xsl not to use localized XSLT
  stylesheets directly.
- Move share/xsl/* to share/xml and remove share/xsl.
- Remove obsolete share/web2c/pdftex.def.
2013-11-13 06:10:37 +00:00

505 lines
24 KiB
XML
Raw Blame History

<?xml version="1.0" encoding="iso-8859-1"?>
<!DOCTYPE html PUBLIC "-//FreeBSD//DTD XHTML 1.0 Transitional-Based Extension//EN"
"http://www.FreeBSD.org/XML/share/xml/xhtml10-freebsd.dtd" [
<!ENTITY title "Información de Seguridad en FreeBSD">
]>
<!-- $FreeBSD$ -->
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>&title;</title>
<cvs:keyword xmlns:cvs="http://www.FreeBSD.org/XML/CVS">$FreeBSD$</cvs:keyword>
</head>
<body class="navinclude.support">
<h2>Introducción</h2>
<p>El objetivo de esta página es orientar a los usuarios, tanto noveles
como experimentados, en el área de seguridad del Sistema Operativo
FreeBSD. El equipo de Desarrollo de FreeBSD se toma la seguridad muy en
serio y trabaja constantemente para hacer el Sistema Operativo tan
seguro como sea posible.</p>
<p>Aquí podrás encontrar información adicional, o enlaces
a información, acerca de cómo proteger tu sistema contra varios
tipos de ataque del exterior, con quién contactar si encuentra un error
de software relacionado con la seguridad, etc. También hay una
sección que trata de las distintas formas en que el programador de
sistemas puede concienciarse acerca de la seguridad, de modo que sea menos
probable la introducción de defectos de seguridad en el software.</p>
<h2>Contenidos</h2>
<ul>
<li><a href="#sec">Información acerca del FreeBSD Security Officer</a></li>
<li><a href="#adv">FreeBSD Security Advisories</a></li>
<li><a href="#ml">Información sobre Listas de Distribución sobre seguridad en FreeBSD</a></li>
<li><a href="#tat">Consejos sobre seguridad en FreeBSD</a></li>
<li><a href="#spg">Pautas para la programación segura</a></li>
<li><a href="#misc">Otra información relacionada con la seguridad</a></li>
</ul>
<a name="sec"></a>
<h2>El FreeBSD Security Officer</h2>
<p>Con el objetivo de coordinar mejor el intercambio de información con
otras personas o entidades relacionadas con el ámbito de la seguridad,
FreeBSD tiene un punto focal para las comunicaciones relacionadas con la
seguridad: el FreeBSD <a href="mailto:security-officer@FreeBSD.org">security officer</a>.
El puesto está actualmente ocupado por un equipo de security officers
dedicados, siendo sus tareas principales emitir advisories cuando hay
defectos de seguridad conocidos y actuar ante los informes de posibles
problemas de seguridad con FreeBSD.</p>
<p>Si necesitas contactar con alguien del equipo de FreeBSD acerca
de un posible error de software relacionado con la seguridad por favor
hazlo por <a href="mailto:security-officer@FreeBSD.org"> correo al
Security Officer</a>, incluyendo una descripción de lo que has encontrado
y el tipo de vulnerabilidad que representa. El Security Officer también
está en contacto con los diferentes equipos <a href="http://www.cert.org">
CERT </a>y <a href="http://www.first.org/"> FIRST</a> en todo el mundo,
con los que comparte información acerca de posibles vulnerabilidades en
FreeBSD o programas de utilidad usados por FreeBSD. Los Security Officers
también son miembros activos de dichas organizaciones.</p>
<p>Si necesitas contactar con el Security Officer acera de algún
asunto especialmente delicado, usa su <a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/public_key.asc">
clave PGP</a> para encriptar el mensaje antes de enviarlo.</p>
<a name="adv"></a>
<h2>FreeBSD Security Advisories</h2>
<p>Los FreeBSD Security Officers proporcionan security advisories para las
releases de FreeBSD siguientes:</p>
<ul>
<li> La release oficial de FreeBSD más reciente.</li>
<li> FreeBSD-current.</li>
<li> FreeBSD-stable, cuando hay al menos 2 releases basadas en él.</li>
<li> FreeBSD-stable anterior cuando un "nuevo stable" aun no tiene
2 releases basadas en él.</li>
</ul>
En este momento hay disponibles security advisories para:
<ul>
<li> FreeBSD 2.2.8</li>
<li> FreeBSD 3.1</li>
<li> FreeBSD 3.2</li>
<li> FreeBSD-current</li>
<li> FreeBSD-stable</li>
</ul>
<p>No hay mantenimiento para releases anteriores a estas. Se recomienda
a los usuarios se actualicen a una de las releases arriba mencionadas.
</p>
<p>Como todos los esfuerzos de desarrollo, las reparaciones de seguridad
se incorporan primero en la rama
<a href="../../handbook/cutting-edge.html#CURRENT">FreeBSD-current</a>.
Después de un par de días de prueba la reparación se
incorpora en las ramas FreeBSD-stable soportadas y se emite un advisory. </p>
<p>Los advisories se envían a las siguientes listas de
distribución de FreeBSD:</p>
<ul>
<li>FreeBSD-security-notifications@FreeBSD.org</li>
<li>FreeBSD-security@FreeBSD.org</li>
<li>FreeBSD-announce@FreeBSD.org</li>
</ul>
<p>Los advisories se firman siempre usando la
<a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/public_key.asc">
clave PGP</a> del FreeBSD Security Officer y se archivan, junto con los
patches asociados, en nuestro
<a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/index.html">
repositorio FTP CERT</a>. En el momento de escribir esto están
disponibles los advisories siguientes:</p>
<ul>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-96:01.sliplogin.asc">FreeBSD-SA-96:01.sliplogin.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-96:02.apache.asc">FreeBSD-SA-96:02.apache.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-96:03.sendmail-suggestion.asc">FreeBSD-SA-96:03.sendmail-suggestion.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-96:08.syslog.asc">FreeBSD-SA-96:08.syslog.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-96:09.vfsload.asc">FreeBSD-SA-96:09.vfsload.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-96:10.mount_union.asc">FreeBSD-SA-96:10.mount_union.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-96:11.man.asc">FreeBSD-SA-96:11.man.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-96:12.perl.asc">FreeBSD-SA-96:12.perl.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-96:13.comsat.asc">FreeBSD-SA-96:13.comsat.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-96:14.ipfw.asc">FreeBSD-SA-96:14.ipfw.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-96:15.ppp.asc">FreeBSD-SA-96:15.ppp.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-96:16.rdist.asc">FreeBSD-SA-96:16.rdist.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-96:17.rzsz.asc">FreeBSD-SA-96:17.rzsz.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-96:18.lpr.asc">FreeBSD-SA-96:18.lpr.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-96:19.modstat.asc">FreeBSD-SA-96:19.modstat.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-96:20.stack-overflow.asc">FreeBSD-SA-96:20.stack-overflow.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-96:21.talkd.asc">FreeBSD-SA-96:21.talkd.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-97:01.setlocale">FreeBSD-SA-97:01.setlocale</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-97:02.lpd.asc">FreeBSD-SA-97:02.lpd.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-97:03.sysinstall.asc">FreeBSD-SA-97:03.sysinstall.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-97:04.procfs.asc">FreeBSD-SA-97:04.procfs.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-97:05.open.asc">FreeBSD-SA-97:05.open.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-97:06.f00f.asc">FreeBSD-SA-97:06.f00f.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-98:01.land.asc">FreeBSD-SA-98:01.land.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-98:02.mmap.asc">FreeBSD-SA-98:02.mmap.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-98:03.ttcp.asc">FreeBSD-SA-98:03.ttcp.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-98:04.mmap.asc">FreeBSD-SA-98:04.mmap.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-98:05.nfs.asc">FreeBSD-SA-98:05.nfs.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-98:06.icmp.asc">FreeBSD-SA-98:06.icmp.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-98:07.rst.asc">FreeBSD-SA-98:07.rst.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-98:08.fragment.asc">FreeBSD-SA-98:08.fragment.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-99:01.chflags.asc">FreeBSD-SA-99:01.chflags.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-99:02.profil.asc">FreeBSD-SA-99:02.profil.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-99:03.ftpd.asc">FreeBSD-SA-99:03.ftpd.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-99:04.core.asc">FreeBSD-SA-99:04.core.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-99:05.fts.asc">FreeBSD-SA-99:05.fts.asc</a></li>
<li><a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-99:06.amd.asc">FreeBSD-SA-99:06.amd.asc</a></li>
</ul>
<a name="ml"></a>
<h2>Información acerca de las Listas de Distribución sobre
Seguridad en FreeBSD</h2>
<p>Si eres administrador o usuario de uno o más sistemas FreeBSD,
quizás quieras suscribirte a alguna de las listas siguientes:</p>
<pre>
FreeBSD-security Discusiones relacionadas con la seguridad en general
FreeBSD-security-notifications Notificaciones sobre seguridad (lista moderada)
</pre>
Envíe un mensaje a <a href="mailto:majordomo@FreeBSD.org">
majordomo@FreeBSD.ORG</a> con
<pre>
subscribe &lt;nombre_de_la_lista&gt; [&lt;dirección_email_opcional&gt;]
</pre>
en el cuerpo del mensaje para suscribirse.
Por ejemplo:
<pre>
% echo "subscribe FreeBSD-security" | mail majordomo@FreeBSD.org
</pre>
y si quieres desuscribirte de una lista de distribución:
<pre>
% echo "unsubscribe FreeBSD-security" | mail majordomo@FreeBSD.org
</pre>
<a name="spg"></a>
<h2>Pautas para la Programación Segura</h2>
<p></p><ul>
<li>Nunca te fíes de ninguna fuente de entrada, i.e. argumentos en la
línea de comando, variables de entorno, ficheros de
configuración, paquetes TCP/UDP/ICMP entrantes, argumentos de funciones,
etc. Si la longitud o el contenido de los datos recibidos están
sujetos, siquiera mínimamente, al control desde el exterior, el
programa o la función debería tenerlo en cuenta cuando maneja
dichos datos. Podemos considerar los apartados siguientes desde el punto de
vista de la seguridad:
<p></p>
<ul>
<li>Llamadas a strcpy() y sprintf() para datos de longitud ilimitada.
Usa strncpy() y snprintf() cuando la longitud sea conocida (o implementa
algun otro método de control de límites cuando sea desconocida).
No uses nunca gets() ni sprintf(), punto. Si lo haces, te acosarán sin
tregua duendes malvados.<p></p></li>
<li>Si tienes que validar los datos de entrada del usuario para evitar que
contengan caracteres erróneos de cualquier clase, NO valides la presencia
de dichos caracteres erróneos. Simplemente verifica que la entrada
consiste SOLO en los caracteres permitidos. La idea es: todo lo que no
está explícitamente permitido está prohibido.
<p></p></li>
<li>Lee las páginas del manual para las llamadas strncpy() y strncat().
Asegúrate de entender cómo funcionan!!! Así como
strncpy() puede no añadir un \0 final, strncat() sí lo
añade.
<p></p></li>
<li>Vigila el abuso de strvis() y getenv(). Con strvis() es fácil cometer
un error con la cadena de destino, y getenv() podría devolver cadenas
mucho más largas de lo que el programa espera. Estas dos funciones son,
a menudo, una de las vías principales de ataque contra un programa,
provocando que este sobreescriba la pila o las variables al recibir variables
de entorno con valores no contemplados. Si tu programa lee variables de
entorno, se paranoico. Se muy paranoico!
<p></p></li>
<li>Cada vez que uses las llamadas open() o stat() pregúntate: " Y si es
un enlace simbólico ?"
<p></p></li>
<li>Asegúrate de usar mkstemp() en lugar de mktemp(), tempnam(),
etc. Asegúrate también de buscar problemas de acceso
concurrente en general en /tmp, teniendo en cuenta que hay muy pocas
cosas que pueden ser atómicas en /tmp:
<ul>
<li>Crear un directorio. O funciona o no funciona.</li>
<li>Abrir un fichero O_CREAT | O_EXECL</li>
</ul>
Si se usa mkstemp() la función tratará por tí estos casos
adecuadamente. De aquí que todos los ficheros temporales
deberían usar mkstemp() para garantizar que no se produzcan problemas
de acceso concurrente y que los permisos son correctos.
<p></p></li>
<li>Un atacante que consiga que los paquetes vayan a/vengan de un
sistema arbitrario tendrá el control completo de los datos que recibimos,
por lo tanto <b>NINGUNO</b> de estos datos será de fiar.
<p></p></li>
<li>Nunca dés por hecho que un fichero de configuración
estará correctamente formateado o que habrá sido generado por
el programa de utilidad apropiado. No confíes en que las entradas del
usuario tales como nombres de terminal o cadenas del lenguaje estarán
libres de '/' o '../../../' si hay la mínima posibilidad de que puedan
ser usadas en un nombre de path. No confíes en <b>NINGUN</b> path
proporcionado por el usuario cuando el programa se ejecuta setuid root.
<p></p></li>
<li>Busca fallos o puntos débiles en la forma de almacenar los datos.
Todos los ficheros temporales deberían tener permisos de la forma
600 para protegerlos de ojos curiosos.
<p></p></li>
<li>No te limites a buscar con grep los sospechosos habituales en
programas que se ejecutan con privilegios elevados. Busca los
posibles desbordamientos línea a línea, hay muchísimas
más formas de provocar un desbordamiento de memoria además de
mediante el abuso de strcpy() y sus amigos.
<p></p></li>
<li>El simple hecho de restringir privilegios en algún punto no
significa que no haya manera de explotar el recurso en cuestión.
El atacante podría colocar el código necesario en la pila para
recuperar los privilegios antes de ejecutar /bin/sh.</li></ul>
<p></p></li>
<li>Administra los uid. Elimina privilegios tan pronto como sea posible,
y elimínalos de verdad. Cambiar entre euid y uid NO es suficiente. Usa
setuid() siempre que puedas.
<p></p></li>
<li>Nunca muestres el contenido de ficheros de configuración cuando
ocurra un error. Un número de línea y quizás un contador
de posición es suficiente.
Esto mismo es igualmente cierto para todas las librerías y todos los
programas suid/gid.
<p></p></li>
<li>Consejos para quienes revisen código existente debido a problemas de
seguridad:<p></p><ul>
<li>Si no estás seguro de tus reparaciones de seguridad, envíalas
para ser revisadas a alguien con quien así lo hayas acordado
previamente. No entregues código del que no estás seguro, llegar
a estropear algo en nombre de las reparaciones de seguridad resulta bastante
embarazoso.
<p></p></li>
<li>Aquellos con privilegios de entrega ("commit") para CVS deberían
asegurarse de que alguien con dichos privilegios esté entre los
últimos en revisar los cambios. Dicha persona revisará e
incorporará la versión final que se desea tener en el
árbol.
<p></p></li>
<li>Cuando distribuyas cambios para ser revisados usa siempre diffs con
formato context o unidiff. De este modo los diffs pueden ser fácilmente
proporcionados como entrada a patch(1). No te limites a enviar los ficheros
enteros. Los diffs son más fáciles de leer y aplicar al
código fuente local (especialmente a aquel en el que podrían
tener lugar múltiples cambios simultáneamente). Todos los cambios
deberían referirse a la rama de desarrollo -current.
<p></p></li>
<li>Prueba tu mismo todos los cambios (i.e. compila y ejecuta el
código fuente afectado) antes de enviarlos a otra persona para que los
revise. A nadie le gusta que le envíen material averiado para revisar,
y además produce la impresión de que el remitente ni siquiera se
fijó en lo que estaba haciendo (lo que no contribuye precisamente a dar
una sensación de confianza). Si necesita una cuenta en una
máquina donde hay una versión específica que no tienes a
mano, simplemente pregunta. El proyecto tiene recursos asignados para ese
propósito en concreto.
<p></p></li>
<li>Nota para los responsables de la entrega de código ("commit"): no
se debe olvidar incorporar a la rama -stable los patches hechos sobre
-current, de la forma que sea adecuada.
<p></p></li>
<li>No reescribas código innecesariamente para acomodarlo a tu estilo/
gustos. Esto sólo hace el trabajo de quienes lo revisan más
difícil.
Hazlo sólo si hay razones claras para ello.</li></ul>
<p></p></li>
<li>Busca programas que hagan cosas complicadas con los gestores de
señales. Muchas rutinas en varias bibliotecas no son lo suficientemente
reentrantes como para hacerlo con seguridad.
<p></p></li>
<li>Presta especial atención al uso de realloc(). Lo habitual es no
usar la función correctamente.
<p></p></li>
<li>Cuando uses áreas de memoria de longitud fija use sizeof() para
evitar pérdidas cuando se cambia el tamaño del área pero
no el código que la usa. Por ejemplo:
<pre>
char buf[1024];
struct foo { ... };
...
MAL:
xxx(buf, 1024)
xxx(yyy, sizeof(struct foo))
BIEN:
xxx(buf, sizeof(buf))
xxx(yyy, sizeof(yyy))
</pre>
Ten cuidado al aplicar sizeof a un puntero cuando lo que quieres es
el tamaño del objeto referenciado!
<p></p></li>
<li>Siempre que veas "char foo[###]", comprueba cada uso de foo para
asegurarte de que no se desbordará. Si no puedes evitar el desbordamiento
(se han dado casos), usa malloc como mal menor para ubicar el área de
memoria, de este modo evitarás sobreescribir la pila.
<p></p></li>
<li>Cierra siempre los descriptores de ficheros tan pronto como puedas, lo
que hará más probable que los contenidos del área de
memoria de entrada de stdio() sean desechados. En rutinas de biblioteca,
dispon siempre los descriptores de ficheros que abras de modo que se cierren
tras lanzar con éxito otro proceso.
<p></p></li>
</ul>
<a name="tat"></a>
<h2>Consejos sobre seguridad en FreeBSD</h2>
<p>Se deben ejecutar varios pasos para hacer seguro un sistema FreeBSD
(para el caso, cualquier sistema &unix;):</p>
<ul>
<li>Inhabilitar todo software potencialmente peligroso<br/><p></p>
Gran cantidad de software debe ser ejecutado con un usuario privilegiado
especial para poder hacer uso de recursos específicos, haciendo el
ejecutable set-uid. Un ejemplo es el software UUCP o PPP, que hacen uso
del puerto serie, o sendmail, que tiene que escribir en el spool de correo
y conectar con un puerto de red privilegiado. Si no usas UUCP de poco
sirve tener en su sistema el software asociado; sería prudente
inhabilitarlo.
Desde luego, esto requiere saber a ciencia cierta lo que puede ser eliminado
y lo que no, así como tener claro si se va a necesitar o no dicha
funcionalidad en el futuro.<br/><p></p>
Lo mismo se puede decir de aquellos programas de utilidad que no consideres
lo bastante útiles y que supongan un posible riesgo para la seguridad,
como swapinfo. Si elminas el bit set-uid del ejecutable (por medio del
comando "chmod ug-s nombre-de-fichero") siempre habrá la posibildad de
que el usuario root pueda usar swapinfo. Sin embargo no es una buena idea
elminar tantos sbits que se haga necesario ser root contínuamente.<br/><p></p>
No sólo elimines programas que no uses, elimina también servicios
que no quieras o necesites suministrar. Esto se puede hacer editando los
ficheros <tt>/etc/inetd.conf</tt> y <tt>/etc/rc.conf</tt> e inhabilitando los
servicios que no quieras usar.<p></p></li>
<li>Reparar el software con errores que afecten a la seguridad (o cómo
mantenerse un paso por delante de los crackers)
<br/><p></p>
Asegúrate de suscribirte a las diferentes <a href="#ml">Listas de
ditribución sobre seguridad en FreeBSD</a> para obtener actualizaciones
relacionadas con los errores que afectan a la seguridad y reparaciones.
Aplica las reparaciones inmediatamente.<p></p></li>
<li>Copias de seguridad. Repare su sistema si una violación de la seguridad
llegara a ocurrir<br/><p></p>
Disponga siempre de copias de seguridad y de una versión limpia del sistema
operativo (por ejemplo en CD-Rom). Asegúrese de que sus copias de seguridad
no contienen datos alterados o modificados por el atacante.<p></p></li>
<li>Instala software pare vigilar el estado del sistema<br/><p></p>
Programas como tcp wrappers y tripwire (ambos en packages/ports) pueden
ayudarte a monitorizar la actividad en tu sistema. Esto hace más
fácil la detección de irrupciones. Lee también la salida
de los scripts de /etc/security, que se ejecutan diariamente y se envían
por correo a la cuenta root.<p></p></li>
<li>Educa a la gente que trabaja en el sistema<br/><p></p>
Los usuarios deberían ser conscientes de lo que hacen. Deberías
indicarles que nunca revelen su password a nadie y que usen passwords
difíciles de adivinar. Hazles entender que la seguridad del
sistema/de la red está parcialmente en sus manos.<p></p></li>
</ul>
<p>También hay un documento PASO a PASO ("HowTo") sobre seguridad en
FreeBSD disponible que proporciona algunos consejos avanzados acerca de
cómo mejorar la seguridad de su sistema. Puede ser consultado en
<a href="http://www.FreeBSD.org/~jkb/howto.html">
http://www.FreeBSD.org/~jkb/howto.html</a>.</p>
<p>La seguridad es un proceso contínuo. Asegúrate de estar al
día con los avances en el campo de la seguridad.</p>
<a name="misc"></a>
<h2>Qué hacer si detectas que la seguridad ha sido comprometida</h2>
<ul>
<li><b>Determina el alcance de la violación de seguridad</b><br/>
Qué privilegios consiguió el atacante ? Consiguió
acceso de root ?
Consiguió acceso sólo en el nivel de usuario ?</li>
<li><b>Determina si se ha alterado el estado del sistema (ámbito del
kernel o de usuario)</b><br/>
Qué software ha sido alterado? Se instaló un nuevo kernel ?
Ha sido modificado alguno de los archivos binarios del sistema (tales como
telnetd, login, etc.) ? Si sospechas que un atacante puede haber
causado cualquier alteración en un sistema operativo, podrías
considerar conveniente reinstalar el sistema operativo desde un medio seguro.</li>
<li><b>Averigua cómo se logró la irrupción</b><br/>
Ocurrió por medio de un error de seguridad bien conocido ? Si este es
el caso, asegúrate de instalar los patches correctos. Tuvo éxito
la irrupción debido a una mala configuración ? Fue el resultado
de un error desconocido hasta el momento ? Si sospechas que la
irrupción ocurrió por medio de un error nuevo, deberías
advertir al <a href="mailto:security-officer@FreeBSD.org"> FreeBSD Security
Officer</a>.</li>
<li><b>Repara el defecto de seguridad</b><br/>
Instala nuevo software o aplica patches al antiguo para reparar los
problemas. Inhabilita las cuentas que ya han sido comprometidas.</li>
<li><b>Otros recursos</b><br/>
<a href="http://www.cert.org">CERT</a> también ofrece
<a href="http://www.cert.org/nav/recovering.html">información detallada</a>
acerca de qué pasos seguir en caso de que un sistema se vea comprometido.
</li>
</ul>
<h2>Otra Información Relacionada Con La Seguridad</h2>
<ul>
<li><a href="http://www.cs.purdue.edu/coast/archive/index.html">El archivo
COAST</a> contiene una vasta colección de materiales relacionados con la
securidad.</li>
<li><a href="http://www.cs.purdue.edu/coast/hotlist/">La COAST Security
Hotlist</a> es el lugar donde empezar a buscar materiales relacionados con
la seguridad. Contiene cientos de enlaces útiles. Todo lo que siempre
quiso saber sobre seguridad ... y más.</li>
<li>Los diferentes equipos CERT tales como <a href="http://www.cert.org">
http://www.cert.org</a> y <a href="http://www.auscert.org.au">
http://www.auscert.org.au</a>.</li>
<li>Listas de distribución como <a href="http://www.ecurityfocus.com/forums/bugtraq/intro.html">
Bugtraq</a> y <a href="http://www.nfr.net/forum/firewall-wizards.html">
Firewall Wizards</a>.</li>
</ul>
</body>
</html>
Reference in a new issue View git blame Copy permalink