Guía Seguridad sobre máquinas con Centos
Guía Seguridad
Contraseñas
Usar contraseñas seguras, especialmente para el usuario root.
Una contraseña segura tiene que tener al menos estas características:
Tener una longitud mínima de 8 caracteres
Mayúsculas y minúsculas alternadas
Tantos signos de puntuación y números como sea posible
Evitar palabras o frases comunes que puedan figurar en cualquier diccionario
No tener relación evidente con datos personales del usuario: Nombre, fecha de nacimiento, etc
Política de caducidad de las contraseñas
Las definiremos en el fichero /etc/login.defs o a cada usuario manualmente con el comando chage
El periodo máximo durante el que se puede mantener una contraseñaserá de 60 días
La longitud mínima de la contraseña será de 8 caracteres.
El período mínimo durante el que se debe mantener una contraseña será de 15 días
El período durante el que el sistema avisará de una futura caducidad de la contraseñaserá de 15 días
Usuarios UID 0
Solamente root debería de ser el único usuario con el UID a 0
Particionado
Las particiones se pueden montar de distintas formas para que limiten determinados permisos:
Noauto: La partición no se montará automáticamente.
Noexec: La partición no admitirá la ejecución de ficheros desde la misma.
Nodev: La partición no admitirá la instalación de dispositivos.
Permisos (ro), (rw):La partición se configurará con permisos read-only (ro, solo lectura), read-write (rw, lectura y escritura)
Recomendacionesde seguridad para las particiones:
boot → noauto, noexec, nodev, nosuid, ro.
Si hay que actualizar el kernel habría que montar temporalmente la partición boot como rw
para actualizar o instalar una nueva aplicación habría que montar temporalmente la partición correspondiente como rw
/var → defaults, nosuid
/var/log → nodev, noexec, nosuid, rw.
/var/log/audit → nodev, noexec, nosuid, rw.
/var/www → nodev, noexec, nosuid, rw
/home y /tmp → nodev, noexec, nosuid, rw
/media/XXX → noauto, nodev,nosuid, rw
swap → defaults,<dump> 0 <pass> 0.
Seguridad Red
Para prevenir ataques a algunos protocolos (dccp, sctp, rds, tipc)se añaden archivos .conf al directorio /etc/modprobe.d para que se ejecute la shell /bin/false en lugar de cargar el módulo del protocolo indicado