Securizar el entorno del servidor Linux con LES (Linux Environment Security)

Un buen punto de partida es utilizar LES (Linux Environment Security).

Descarga e instalación:

# wget http://www.r-fx.ca/downloads/les-current.tar.gz
# tar xvzf les-current.tar.gz
# cd les-*
# ./install.sh

Ejemplo:

# les –secure-bin on
# les –secure-bin off

La ayuda nos da:

-da | –disable-all Disable all options
-ea | –enable-all Enable all options
-sb | –secure-bin Set root only execution of critical binaries
-sp | –secure-path Set root only traversal of critical paths
-sr | –secure-rpmpkg Set immutable on core rpm package binaries
-so | –secure-prof Set immutable on interactive login profiles
-sd | –secure-devel Set access to devel utils for group deva & root

Además, podemos securizar manualmente el archivo “services”:

# chattr +i /etc/services

Añadir lo siguiente al archivo /etc/host.conf

# nano /etc/host.conf
order hosts,bind
nospoof on

Asegurarse que los usuarios que NO pertenecen al grupo Wheel, NO pueden acceder a los comandos scp, rcp, wget, lynx, links:

# chmod 750 /usr/bin/rcp && chmod 750 /usr/bin/wget
# chmod 750 /usr/bin/lynx && chmod 750 /usr/bin/links && chmod 750 /usr/bin/scp

Finalmente, podemos utilizar Bastille-Unix si sabemos lo que estamos haciendo, para dar una vuelta de tuerca más.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *