Seguridad

Introducción a la seguridad en Linux

Últimamente hablamos mucho sobre seguridad en todos los ámbitos de la vida. Los ordenadores no están excluidos y se han escritos páginas y páginas sobre la seguridad, pero bastante poco acerca de lo que queremos asegurar y cuál es el costo, en dinero y trabajo, de la relación seguridad-necesidad o conveniencia.

El entorno sobre el que opera un ordenador no difiere mucho del entorno de nuestra casa, la oficina, una empresa, una gran empresa o simplemente el Estado.

Cada uno de estos ámbitos tiene una relación formada por el valor de lo que queremos asegurar con las medidas que adoptamos para llevar a cabo esa seguridad. La seguridad cuesta trabajo y dinero y si bien en nuestro ámbito personal, o sea, el ordenador que tenemos en nuestra casa, podemos establecer unas normas y unas barreras con un poco de trabajo y nada de dinero, no está de más tener en cuenta, cuáles son las necesidades reales de protección.

Está claro que cuanto más valiosos son los datos y la operabilidad de un sistema informático, como puede serlo un banco o el servicio de controladores de vuelo de un aeropuerto, más sofisticado y caro será el sistema de protección de aquel equipo, pero la necesidad de estos equipos dista mucho de aquel equipo que tenemos instalado en nuestra casa.

Todo esto sucede, en gran parte, porque hasta la fecha no existe ningún ordenador/sistema 100% seguro, salvo que esté suspendido en el espacio y dentro de una «Caja de Faraday», sin ningún tipo de conexión exterior, claro.

Pero como esto no es la realidad, aceptamos que por sofisticado que sea un sistema, siempre tendrá alguna vulnerabilidad, ocasionada por la necesidad de tener que acceder al mismo desde fuera.

Pero, vamos a lo práctico.

Empezaremos por lo más sencillo, el ordenador de casa. Como esta es una página de documentación de Ubuntu, por lo tanto un sistema GNU/Linux, aplicando lo expuesto más arriba, asumimos que nuestro equipo necesita protección. GNU/Linux no es por lo tanto un sistema 100% seguro, en gran medida porque fue diseñado para compartir o sea operar en redes de manera flexible. Y esta flexibilidad es en sí misma su debilidad. No hablaremos aquí del mundo de Windows, dado que allí las vulnerabilidades son aun mucho mayores, además de ser mejor blanco de ataques, dada su implantación masiva. Nuestro sistema necesita atención y sobre todo, tener muy claro qué función estará destinado a ofrecer.

Lo primero que nos pasa por la cabeza cuando hablamos de seguridad, son los virus. Esta paranoia la heredamos de Windows por la enorme cantidad de código malicioso que se ha desarrollado para este sistema operativo y, de la misma manera que no encendemos un mechero cerca de un surtidor de gasolina, tampoco conectamos un equipo con Windows a la red sin un poderoso antivirus.

Afortunadamente en GNU/Linux, este problema prácticamente no existe. Hay muy pocos virus conocidos para Linux y por otra parte digamos que es mas difícil que se instalen en nuestro equipo sin nuestro consentimiento, gracias a la arquitectura del propio sistema operativo, que mantiene un orden de jerarquía férreo sobre las posibilidades de inclusión de nuevo software en nuestra máquina.

Pero existen otras amenazas que no son sólo virus.

Por contradictorio que parezca, quien más daño causa a nuestros datos y a nuestro sistema, somos nosotros mismos, o sea, tenemos que PROTEGER lo que consideramos valioso, de nosotros mismos, y para eso sólo bastan unas simples normas y un trabajo ordenado y sistemático.

La primera medida debemos tomarla desde el momento en que instalamos un sistema operativo en nuestra máquina.

• Asegurarnos que la distribución y la versión de ésta sea soportada por el hardware del cual disponemos. Puede ocurrir que logremos instalar una versión que tenga requerimientos de hardware mayores de los que disponemos, pero nos estamos arriesgando a que un día, el sistema sufra un colapso del que no sepamos salir y que la única opción a nuestro alcance sea formatear, con lo que perderíamos todo el contenido.

• Al particionar el disco duro, tener en cuenta la posibilidad de asignar particiones diferentes asignando al sistema una propia (representada por «/») y otra para /home, con lo cual, en caso de tener que formatear, sólo lo haríamos en aquella donde está el sistema, salvaguardando nuestros archivos. Evidentemente pueden crearse más particiones para alojar otros archivos especiales.

• A partir de aquí, según la necesidad de mantener un estricto control sobre nuestra máquina, es decir, evitar que alguna persona pueda arrancar nuestro equipo, salvo nosotros claro, será necesario configurar el gestor de arranque, grub por lo general, a través de una contraseña que incluso puede estar cifrada. Esto se hace con «grub-md5-crypt» o con la función «lock» según intereses, pero se explicará la configuración mas adelante.

• Una vez tenemos el sistema operativo en marcha, Ubuntu «protege» de desastres, no activando de manera predeterminada la cuenta root aunque nos proporciona el comando «sudo» que nos permite tomar prestadas momentáneamente sus atribuciones como amo y señor del sistema, por lo que no debe de activarse esta cuenta a no ser que sea estrictamente necesario.

• El control físico de la máquina, tiene más importancia de lo que parece. De qué nos sirve tener toda una batería de medidas de defensa evitando la intrusión vía red, si nos levantamos de la silla y dejamos el terminal abierto con lo que en menos de un minuto podrían hacernos un estropicio tan grande en el sistema que sería insalvable. Esto es poco probable en un entorno doméstico, pero....

Para evitar disgustos podemos bloquear a través del teclado la pantalla. Para ello usamos:

Sistema --> Preferencias --> Combinaciones de teclas. Buscamos «bloquear pantalla» que por defecto es: <Ctrl-Alt-L> y la cambiamos por la que nos guste

• Elegir una contraseña que cumpla las expectativas propias de una contraseña: que sea difícil de averiguar. Es decir, no poner ninguna palabra que aparezca en un diccionario, fechas, nombres de mascotas o nombres propios en general. Por el contrario debemos «crear» una contraseña que contenga números, algunas mayúsculas, combinaciones de sílabas de varias palabras, en fin, hay que poner a trabajar la imaginación. Prácticamente todas las contraseñas son descifrables, pero podemos hacer que haya que tomarse su tiempo, y eso desalienta a muchos intrusos.

• No guardaremos en el ordenador ningún dato que usados por terceras personas puedan causarnos un gran trastorno, por ejemplo, las contraseñas de nuestras tarjetas de crédito, claves bancarias y cosas por el estilo, seguro que nos ahorraremos muchos disgustos.

Hay que pensar que, una vez que estamos conectados a la red, nuestro ordenador es como nuestra casa, está aislada del resto de nuestros vecinos por su entorno físico, pero tiene puerta, para que podamos entrar e incluso para permitir el acceso de otros en caso necesario. Esa puerta de entrada, en el ordenador es la conexión a Internet.

En el caso de nuestra casa, si nos paramos a observar, la seguridad la representa la cerradura que tenemos en la puerta de entrada, las rejas de las ventanas que dan al jardín y el sistema de alarma. Si vivimos en un piso, sólo la puerta de entrada está protegida, y no mucho.

¿Por qué? Porque seguro que hemos hecho una valoración de lo que tenemos dentro y hemos calculado que con una cerradura buena y una puerta blindada, alejará a muchos intrusos impacientes, pero si alguien se empeña en entrar, lo hará, incluso los cerrajeros que te abren la puerta cuando te dejas la llaves dentro, lo hacen en un parpadeo.

Pero establecemos una buena política en cuanto a normas de seguridad interior, para preservar nuestros bienes e incluso nuestra integridad, como por ejemplo, no encender fuegos dentro de la casa, las velas e inciensos lejos de las cortinas, prohibido fumar en la cama, la instalación de la electricidad y el gas revisados periódicamente, etc. Y con esto, vivimos tranquilos, no paranoicos. Ahora, el responsable de la seguridad informática del Pentágono, seguro que estará paranoico, y con razón, dado lo que guarda.

Hasta aquí, las consideraciones mínimas para un ordenador doméstico. Pero este ordenador estará conectado a la red, o sea abrimos la puerta para salir y, si la dejamos abierta, otros pueden entrar. Veremos cómo mantener la puerta cerrada.

Información general

• Seguridad proactiva - Un artículo de opciones de seguridad y ocultación para crear un volumen (partición) encriptado usando Truecrypt.

• Opciones por defecto no seguras - Configuraciones que lleva Ubuntu por defecto y que deberías cambiar si deseas usar servicios de red.

Actualizaciones de seguridad

• Actualizaciones automáticas de seguridad - cómo configurar Ubuntu para instalar las actualizaciones de seguridad automáticamente.

Contraseñas

• Contraseñas "fuertes" - cómo generar y usar contraseñas resistentes al crackeo en Ubuntu.

Herramientas de seguridad

Cortafuegos

• iptables.

Antivirus

• ClamAV - antivirus libre.

SSH

• OpenSSH.

Enlaces útiles

• https://help.ubuntu.com/community/Security .
• http://www.nsa.gov/selinux/ .