Opciones por defecto no seguras

De doc.ubuntu-es
Saltar a: navegación, buscar

Ubuntu está diseñado para ser seguro y fácil de usar pero para aquellas personas que usan Ubuntu como un servidor FTP o Apache aquí van algunos consejos.

El propósito de esta página es avisar a esos usuarios de opciones que probablemente deberían modificar.

Memoria compartida

Por defecto, /dev/shm está montado en modo lectura/escritura, con permisos para ejecutar programas. En los últimos años, muchas listas de correo han notado algunos exploits cuando /dev/shm era usado para atacar otro servicio en funcionamiento, como httpd. La mayoría de estos exploits, sin embargo, se deben a confiar en una aplicación web insegura en lugar de ser una vulnerabilidad en Apache o Ubuntu. Hay una pocas razones para montarlo en modo lectura/escritura en configuraciones específicas, tales como una configuracion de tiempo real de un touchpad Synaptic para ordenadores portátiles, pero para servidores y instalaciones de escritorio no hay ningún beneficio al montar /dev/shm en modo lectura/escritura. Para cambiar esta opción, edita el archivo /etc/fstab e inclute la siguiente línea:

tmpfs     /dev/shm     tmpfs     defaults,ro     0     0

Esto montará /dev/shm en modo sólo lectura. Si tienes buenas razones para mantener el permiso de escritura, pon esta linea en el /etc/fstab en vez de la anteriro:

tmpfs     /dev/shm     tmpfs     defaults,noexec,nosuid     0     0

Esto montará /dev/shm en modo escritura, pero sin el permiso de ejecutar programas y sin el permiso de cambiar la UID de los programas en funcionamiento.

Estas opciones tendrán efecto una vez que reincies el sistema, a menos que remontes /dev/shm con el comando

sudo mount -o remount /dev/shm

Opciones por defecto del SSH

El demonio SSH daemon es suficientemente seguro para la mayoría de la gente, sin embargo se puede mejorar la seguridad al cambiar ciertas configuraciones del sshd. Todos los cambios, a menos que se indique lo contrario, se realizan en el archivo /etc/ssh/sshd_config. Las líneas que comienzand con una almohadilla (#) son comentarios y no serán leídos por el programa. Para editar este archivo desde un terminal:

sudo vi /etc/ssh/sshd_config

Usando un editor Gnome, pulsa Alt+F2 y escribe:

gksudo gedit /etc/ssh/sshd_config

Usando un editor KDE, pulsa Alt+F2 y escribe:

kdesu kate /etc/ssh/sshd_config

Por favor recuerda que tras hacer cualquier cambio el programa sshd debe ser reiniciado, esto se puede hacer desde una terminal con el siguiente comando:

sudo /etc/init.d/ssh restart


Entrada del root en SSH

Por defecto, el demonio SSH

....

Fuente: https://help.ubuntu.com/community/UnsafeDefaults

Herramientas personales