Fortificar los sistemas o aplicaciones para hacerlos más robustos y seguros, y mitigar la exposición de nuestros datos
Vamos a ver como proteger servicios que estén expuestos en una máquina utilizando sshguard. Un problema con el que hay que lidiar cuando quieres publicar servicios es la exposición de puertos, siempre que publicamos un servicio abrimos una puerta a los intentos de intrusión.
Como comentaba en la anterior entrada sobre Nmap, esta herramienta nos ofrece muchas más posibilidades que el descubrimiento de puertos abiertos. Nmap incorpora un potente sistema de scripts conocido como NSE (Nmap Scripting Engine) que permite a los usuarios extender las capacidades de Nmap usando los diversos scripts que incorpora (actualmente hay más de 500 disponibles) que permiten desde la detección avanzada de versiones a la explotación de vulnerabilidades, o creando nuevos scripts que podemos compartir con el resto de usuarios (para los script se utiliza el lenguaje de programación LUA).
Nmap es una herramienta de escaneo de red que se usa con mucha frecuencia en administración de redes o para realizar alguna prueba de penetración o auditoría de sistemas. Realmente la herramienta Nmap nos permite no solo escanear los puertos, sino detectar el sistema operativo de la máquina remota, realizar identificación RPC, hacer barridos de pings, detectar la dirección Mac o identificar la versión de determinados servicios de red.
Destacado
Este es un compendio o índice de las entradas publicadas hasta ahora sobre los sistemas y elementos de seguridad en los entornos GNU/Linux. La lista la iré modificando e incrementando conforme vaya añadiendo nuevos contenidos.
Las técnicas de sandboxing (caja de arena) se utilizan para aislar determinados procesos con el fin de que tengan una visión parcial y limitada de los recursos disponibles del sistema. El objetivo es limitar la posibilidad de acceder a recursos, principalmente en el caso de fallo o que el proceso se vea comprometido y explotado por algún malware o atacante, limitando entonces el alcance que pueden hacer dentro del sistema.
AppArmor es un sistema de seguridad MAC (Mandatory Access Control o Control de acceso Obligatorio) para GNU/Linux. El sistema AppArmor utiliza unos perfiles de acceso escritos en un lenguaje amigable para el administrador, con el fin de limitar a los programas el acceso a un determinado grupo de ficheros, capabilities, accesos de red y limites de recursos, conocidos como la política o perfil de acceso de AppArmor para el programa.
Veíamos en una entrada anterior los cgroups o grupos de control, que nos permitían limitar y monitorear el uso de varios tipos de recursos. Hoy en día, y desde la llegada del sistema de inicio systemd, los cgroups son una parte integral del sistema operativo, y cada proceso se ejecuta en su propio grupo de control.
Los cgroups o grupos de control, son una característica del kernel Linux que permite que los procesos se organicen en grupos jerárquicos con el fin de limitar y monitorear el uso de varios tipos de recursos. Con cgroups cada proceso corre en su propio espacio del kernel y de la memoria. Cuando se tienen la necesidad, un administrador puede configurar fácilmente un cgroup para limitar los recursos que puede utilizar un proceso.
Cada uno de los procesos que ejecutamos en el sistema tienen la opción de interaccionar con el kernel a través de las system calls (llamadas a sistema). Los procesos pueden pedir al kernel que realicen alguna tarea como modificar un fichero, crear un nuevo proceso, cambiar los permisos a un directorio, etc. utilizando un API (Application Programming Interface) por el que el kernel da acceso a sus servicios.
Muchas de las system calls están accesibles a cada proceso en el área de usuario, pero una gran parten no se utilizan durante toda la vida del proceso. El filtrado Seccomp ofrece un medio para limitar el número de system calls que expone el kernel a un determinado proceso.
Los virus informáticos son programas con capacidad de auto-replicación que se adjuntan a otros programas y habitualmente requieren de la intervención humana para su propagación. Aunque este tipo de malware a sido mayoritariamente creado primero para MS/DOS y posteriormente para plataformas Windows es posible su creación para cualquier sistema operativo, incluido GNU/Linux.