Securizar el entorno del servidor Linux con LES (Linux Environment Security)

Un buen punto de partida es utilizar LES (Linux Environment Security).

Descarga e instalación:

# wget http://www.r-fx.ca/downloads/les-current.tar.gz
# tar xvzf les-current.tar.gz
# cd les-*
# ./install.sh

Ejemplo:

# les –secure-bin on
# les –secure-bin off

La ayuda nos da:

-da | –disable-all Disable all options
-ea | –enable-all Enable all options
-sb | –secure-bin Set root only execution of critical binaries
-sp | –secure-path Set root only traversal of critical paths
-sr | –secure-rpmpkg Set immutable on core rpm package binaries
-so | –secure-prof Set immutable on interactive login profiles
-sd | –secure-devel Set access to devel utils for group deva & root

Además, podemos securizar manualmente el archivo “services”:

# chattr +i /etc/services

Añadir lo siguiente al archivo /etc/host.conf

# nano /etc/host.conf
order hosts,bind
nospoof on

Asegurarse que los usuarios que NO pertenecen al grupo Wheel, NO pueden acceder a los comandos scp, rcp, wget, lynx, links:

# chmod 750 /usr/bin/rcp && chmod 750 /usr/bin/wget
# chmod 750 /usr/bin/lynx && chmod 750 /usr/bin/links && chmod 750 /usr/bin/scp

Finalmente, podemos utilizar Bastille-Unix si sabemos lo que estamos haciendo, para dar una vuelta de tuerca más.

Articulos relacionados:

• Enviar email cuando el usuario root se conecta por SSH (4)
• El Archivo Zip de la muerte – 42.zip (24)
• Funciones a deshabilitar en php.ini – Tips para securizar php (1)
• 20 consejos para securizar Apache (2)
• Instalar un servidor de Subversion en un CentOs con Plesk (3)