El Jueves, 17 de Noviembre de 2005 15:01, Felix Perez escribió: || Hola amigos, tengo un par de sevidores con samba, ftp (solo lo uso yo), || apache2 (para una intranet) y probablemente a futuro postfix, ambos con || sarge y sin planes de pasarme a unstable o testing (acostumbro siempre a || trabajar con stable) y quisiera preguntarles que debo tener en cuenta en || cuanto a temas de seguridad:
|| que leer? Manuales de apache, postfix, samba, etc, (sobre todo su sección de seguridad). También manuales de seguridad de redes con Linux. || temas a considerar? Pues un servidor FTP y "seguridad" son cosas incompatibles. Cuando el usuario se conecta a un servidor FTP (sea el que sea), los datos de usuario y contraseña van en texto claro por la red, cualquier sniffer te lo descubre enseguida. ¿Alternativa a FTP? Pues es más difícil de lo que parece: - SFTP, pero no es tan sencillo pues para hacerlo bien tienes que andar haciendo chroots para los usuarios que vayn a usar SFTP (para que no entren en el servidor por SSH y hagan lo que quieran). O sea, SFTP en realidad es parte de SSH (telnet seguro) y sus usuarios son usuarios de sistema, por lo que no es tan bonito como un FTP con usuarios virtuales, anónimos, privados... Además, necesitas un cliente SFTP para Windows (WinSCP es muy bueno) porque por defecto evidentemente no trae ninguno. - VPN con IPsec en modo túnel usando ESP (paquetes IP encriptados y tunelizados). Pero esto es útil para unir dos delegaciones, y además desconozco si se puede usar desde un cliente Windows sin hacer peripecias (aunque se supone que IPsec es un estándar). Vamos, que VPN no es para dar servicio a cualquiera. Una vez conectado por VPN el usuario remoto entraría en la red local con normalidad (acceso a Samba, etc). - PPTP: Similar a IPsec pero más pensado para conectar ordenadores sueltos a una red interna. Problema: los clientes Windows lo usan con encriptación MPPE de Microsoft, si quieres montar un servidor Debian con ese servicio te toca parchear el kernel con mppe y recompilar. Qué jaleo. Y no se me ocurre más, la verdad es que que yo sepa no hay ninguna forma sencilla y segura a la vez para conectarse remotamente desde un Windows a un Linux (o a un Windows) y transmitir ficheros. Si alguien me puede corregir yo encantado. || precauciones? Todas. - En samba asegúrate de no permitir el acceso desde Internet, sólo desde la red local. - En postfix no permitas relay desde redes externas sin usar autenticación en Postfix (para que nadie use tu SMTP para mandar spam). -- que a mí ni me va ni me viene... pero por comentar...