Opciones por defecto no seguras

De doc.ubuntu-es
(Diferencias entre revisiones)
Saltar a: navegación, buscar
(Memoria compartida: erratas)
 
(No se muestran 7 ediciones intermedias realizadas por 3 usuarios)
Línea 1: Línea 1:
Ubuntu está diseñado para ser seguro y fácil de usar pero '''para aquellas personas que usan Ubuntu como un servidor FTP o Apache aquí van algunos consejos'''.
+
Ubuntu está diseñado para ser seguro y fácil de usar pero '''para aquellas personas que usan Ubuntu como un [[servidor FTP]] o [[HTTPD Servidor web Apache2|Apache]] aquí van algunos consejos'''.
  
 
El propósito de esta página es avisar a esos usuarios de opciones que probablemente deberían modificar.
 
El propósito de esta página es avisar a esos usuarios de opciones que probablemente deberían modificar.
Línea 5: Línea 5:
 
== Memoria compartida ==
 
== Memoria compartida ==
  
Por defecto, /dev/shm está montado en modo lectura/escritura, con permisos para ejecutar programas. En los últimos años, muchas listas de correo han notado algunos exploits cuando /dev/shm era usado para atacar otro servicio en funcionamiento, como httpd. La mayoría de estos exploits, sin embargo, se deben a confiar en una aplicación web insegura en lugar de ser una vulnerabilidad en Apache o Ubuntu. Hay una pocas razones para montarlo en modo lectura/escritura en configuraciones específicas, tales como una configuracion de tiempo real de un touchpad Synaptic para ordenadores portátiles, pero para servidores y instalaciones de escritorio no hay ningún beneficio al montar /dev/shm en modo lectura/escritura. Para cambiar esta opción, edita el archivo /etc/fstab e inclute la siguiente línea:
+
Por defecto, /dev/shm está montado en modo lectura/escritura, con permisos para ejecutar programas. En los últimos años, muchas listas de correo han notado algunos exploits cuando /dev/shm era usado para atacar otro servicio en funcionamiento, como httpd. La mayoría de estos exploits, sin embargo, se deben a confiar en una aplicación web insegura en lugar de ser una vulnerabilidad en Apache o Ubuntu. Hay unas cuantas razones para montarlo en modo lectura/escritura en configuraciones específicas, tales como una configuracion de tiempo real de un touchpad Synaptic para ordenadores portátiles, pero para servidores e instalaciones de escritorio no hay ningún beneficio al montar /dev/shm en modo lectura/escritura. Para cambiar esta opción, edita el archivo /etc/fstab e inclute la siguiente línea:
  
 
  tmpfs    /dev/shm    tmpfs    defaults,ro    0    0
 
  tmpfs    /dev/shm    tmpfs    defaults,ro    0    0
  
Esto montará /dev/shm en modo sólo lectura. Si tienes buenas razones para mantener el permiso de escritura, pon esta linea en el /etc/fstab en vez de la anteriro:
+
Esto montará /dev/shm en modo sólo lectura. Si tienes buenas razones para mantener el permiso de escritura, pon esta linea en el /etc/fstab en vez de la anterior:
  
 
  tmpfs    /dev/shm    tmpfs    defaults,noexec,nosuid    0    0
 
  tmpfs    /dev/shm    tmpfs    defaults,noexec,nosuid    0    0
Línea 15: Línea 15:
 
Esto montará /dev/shm en modo escritura, pero sin el permiso de ejecutar programas y sin el permiso de cambiar la UID de los programas en funcionamiento.
 
Esto montará /dev/shm en modo escritura, pero sin el permiso de ejecutar programas y sin el permiso de cambiar la UID de los programas en funcionamiento.
  
Estas opciones tendrán efecto una vez que reincies el sistema, a menos que remontes /dev/shm con el comando
+
Estas opciones tendrán efecto una vez que reinicies el sistema, a menos que remontes /dev/shm con el comando
  
 
  sudo mount -o remount /dev/shm
 
  sudo mount -o remount /dev/shm
Línea 21: Línea 21:
 
== Opciones por defecto del SSH ==
 
== Opciones por defecto del SSH ==
  
El demonio SSH daemon es suficientemente seguro para la mayoría de la gente, sin embargo se puede mejorar la seguridad al cambiar ciertas configuraciones del sshd. Todos los cambios, a menos que se indique lo contrario, se realizan en el archivo /etc/ssh/sshd_config. Las líneas que comienzand con una almohadilla (#) son comentarios y no serán leídos por el programa. Para editar este archivo desde un terminal:
+
El demonio SSH daemon es suficientemente seguro para la mayoría de la gente, sin embargo se puede mejorar la seguridad al cambiar ciertas configuraciones del sshd. Todos los cambios, a menos que se indique lo contrario, se realizan en el archivo /etc/ssh/sshd_config. Las líneas que comienzan con una almohadilla (#) son comentarios y no serán leídos por el programa. Para editar este archivo desde un terminal:
  
 
  sudo vi /etc/ssh/sshd_config
 
  sudo vi /etc/ssh/sshd_config
Línea 40: Línea 40:
 
=== Entrada del root en SSH ===
 
=== Entrada del root en SSH ===
  
Por defecto, el demonio SSH
+
Por defecto, el demonio SSH arranca con las entradas remotas de root habilitadas. Se trata de un potencial riesgo de seguridad, por lo que deben ser deshabilitadas. Para deshabilitar el login de root, edite el archivo:
 +
 
 +
/etc/ssh/sshd_config
 +
 
 +
Y reemplace la siguiente línea:
 +
 
 +
PermitRootLogin yes
 +
 
 +
Por esta otra:
 +
 
 +
PermitRootLogin no
 +
 
 +
== Ver también ==
 +
* [[Servidores]]
 +
* [[Optimización]]
 +
* [[Seguridad]]
 +
== Fuentes ==
 +
https://help.ubuntu.com/community/UnsafeDefaults
 +
 
 +
 
 +
[[Categoría:Servidores]][[Categoría:Optimización]]

Última revisión de 20:40 6 mayo 2012

Ubuntu está diseñado para ser seguro y fácil de usar pero para aquellas personas que usan Ubuntu como un servidor FTP o Apache aquí van algunos consejos.

El propósito de esta página es avisar a esos usuarios de opciones que probablemente deberían modificar.

Contenido

[editar] Memoria compartida

Por defecto, /dev/shm está montado en modo lectura/escritura, con permisos para ejecutar programas. En los últimos años, muchas listas de correo han notado algunos exploits cuando /dev/shm era usado para atacar otro servicio en funcionamiento, como httpd. La mayoría de estos exploits, sin embargo, se deben a confiar en una aplicación web insegura en lugar de ser una vulnerabilidad en Apache o Ubuntu. Hay unas cuantas razones para montarlo en modo lectura/escritura en configuraciones específicas, tales como una configuracion de tiempo real de un touchpad Synaptic para ordenadores portátiles, pero para servidores e instalaciones de escritorio no hay ningún beneficio al montar /dev/shm en modo lectura/escritura. Para cambiar esta opción, edita el archivo /etc/fstab e inclute la siguiente línea:

tmpfs     /dev/shm     tmpfs     defaults,ro     0     0

Esto montará /dev/shm en modo sólo lectura. Si tienes buenas razones para mantener el permiso de escritura, pon esta linea en el /etc/fstab en vez de la anterior:

tmpfs     /dev/shm     tmpfs     defaults,noexec,nosuid     0     0

Esto montará /dev/shm en modo escritura, pero sin el permiso de ejecutar programas y sin el permiso de cambiar la UID de los programas en funcionamiento.

Estas opciones tendrán efecto una vez que reinicies el sistema, a menos que remontes /dev/shm con el comando

sudo mount -o remount /dev/shm

[editar] Opciones por defecto del SSH

El demonio SSH daemon es suficientemente seguro para la mayoría de la gente, sin embargo se puede mejorar la seguridad al cambiar ciertas configuraciones del sshd. Todos los cambios, a menos que se indique lo contrario, se realizan en el archivo /etc/ssh/sshd_config. Las líneas que comienzan con una almohadilla (#) son comentarios y no serán leídos por el programa. Para editar este archivo desde un terminal:

sudo vi /etc/ssh/sshd_config

Usando un editor Gnome, pulsa Alt+F2 y escribe:

gksudo gedit /etc/ssh/sshd_config

Usando un editor KDE, pulsa Alt+F2 y escribe:

kdesu kate /etc/ssh/sshd_config

Por favor recuerda que tras hacer cualquier cambio el programa sshd debe ser reiniciado, esto se puede hacer desde una terminal con el siguiente comando:

sudo /etc/init.d/ssh restart


[editar] Entrada del root en SSH

Por defecto, el demonio SSH arranca con las entradas remotas de root habilitadas. Se trata de un potencial riesgo de seguridad, por lo que deben ser deshabilitadas. Para deshabilitar el login de root, edite el archivo:

/etc/ssh/sshd_config

Y reemplace la siguiente línea:

PermitRootLogin yes

Por esta otra:

PermitRootLogin no

[editar] Ver también

[editar] Fuentes

https://help.ubuntu.com/community/UnsafeDefaults

Herramientas personales