Interasantes las respuestas de todos ustedes, ire paso a paso en mi VPS, por el momento empezare por:
1.- Ya tengo activado iptables. 2.- Activare Shorewalls. 3.- Cambiar los Puertos Predeterminados. 4.- Habilitar Selinux y dar los permisos necesarios. Saludos, El 8 de junio de 2013 00:24, Walter Cervini <wcerv...@gmail.com> escribió: > Opino lo mismo que Gerardo, se ha vuelto una practica entre los usuarios de > Fedora y CentOS, el inhabilitar SeLinux. Mi opinión particular como amante > de la seguridad, nunca inhabilitar SeLinux, y mucho mas aun con tantos > ataque a servidores que están a la merced de internet. Su implementacion no > es compleja, si manejas el tema es tan sencillo como instalar cualquier > aplicacion. > La falta de conocimiento sobre el tema ha llevado a que en todos los > tutoriales, lo primero que indica en a inhabilitar SeLinux, cosa que no > comparto y en todas mis ayudas a los Posts hago este mismo comentario. > > En los proximos dias estare publicado un artículo al respecto, sobre el uso > de SeLinux; les hare llegar el link, para que pueda ampliar conocimiento y > hagan uso de esta gran herramienta. > > > > *Walter Cervini* > RHCSA- RHCVA > Redhat Certificate Verification <http://red.ht/17kDRCa> > wcerv...@gmail.com > cervi...@yahoo.com > waltercerv...@hotmail.com > *412-2042186* > *426-8060118* > <https://twitter.com/v0lp>@v0lp > > > > > > El 7 de junio de 2013 23:56, Carlos Restrepo <restrcar...@gmail.com > >escribió: > > > El 7 de junio de 2013 21:46, Gerardo Barajas > > <gerardo.bara...@gmail.com>escribió: > > > > > +1 > > > On Jun 7, 2013 9:40 PM, "angel jauregui" <darkdiabl...@gmail.com> > wrote: > > > > > > > Si eres buen administrador, verificas bien tu servidor, estas al > tanto > > de > > > > tus LOGS y sabes como configurar tu firewall para la intranet (red > > > local) e > > > > internet, entonces SELinux sale sobrando :D... Pero otros podrian > > opinar > > > > que podria SELinux ser un buen bloqueador al momento que se instale > > algun > > > > malware, pero *piensa detenidamente*: en que situacion se instalaria > > > algun > > > > malware ?.... Necesitarias ser novato, bajar cualquier codigo, > > > compilarlo y > > > > probarlo... > > > > > > > > En ambientes REALES por lo general sabes lo que instalas y no es > > > necesario > > > > enfocarse en tener SELinux activo. > > > > > > > > Saludos ! > > > > > > > > > > > > El 7 de junio de 2013 20:37, Wilmer Arambula > > > > <tecnologiaterab...@gmail.com>escribió: > > > > > > > > > Estoy estudiando y leyendo mucho y me he topado con selinux por > > defecto > > > > lo > > > > > tengo disable, he leído mucho hoy respecto al tema, y veo que unos > > son > > > > > partidarios a tenerlo desactivado y otros no, cual seria la > > > recomendación > > > > > ideal, y a parte de activar el firewall, cambiar puertos por > defecto > > de > > > > > aplicaciones que otras medidas de seguridad podemos aplicar para > > > proteger > > > > > nuestros servidores, > > > > > > > > > > Saludos, > > > > > > > > > > -- > > > > > *Wilmer Arambula. * > > > > > *Asoc. Cooperativa Tecnologia Terabyte 124, RL. > > > > > Tlfs: +58 02512623601 - +58 4125110921. > > > > > Venezuela.* > > > > > * > > > > > Representante Para Venezuela.* > > > > > _______________________________________________ > > > > > CentOS-es mailing list > > > > > CentOS-es@centos.org > > > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > > > > > > > > > > > > > > > -- > > > > M.S.I. Angel Haniel Cantu Jauregui. > > > > > > > > Celular: (011-52-1)-899-871-17-22 > > > > E-Mail: angel.ca...@sie-group.net > > > > Web: http://www.sie-group.net/ > > > > Cd. Reynosa Tamaulipas. > > > > _______________________________________________ > > > > CentOS-es mailing list > > > > CentOS-es@centos.org > > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > _______________________________________________ > > > CentOS-es mailing list > > > CentOS-es@centos.org > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > Wilmer. > > Por experiencia puedo decirte que cualquier herramienta o utilidad que le > > implementes a tus servidores en seguridad nunca sobrara, así como existen > > personas creativas existen también destructivas. > > Hay que ser serios en esta profesión y conscientes que a diario se crean > > códigos que pueden vulnerar la seguridad de los servidores y el hecho de > > tener delante de un servidor un firewalls tipo appliance (check point, > > Soniwalls, Fortinet etc) no te exime a ti como administrador de la > > responsabilidad de asegurarlos. > > > > SELinux aumenta notoriamente la seguridad de un servidor y te coloco un > > ejemplo: hasta la versión 5.9 de RHEL/CENTOS los productos Oracle no > > convivían con SELinux, en la versión 6 y BD 11G Release 2 ya se puede > dejar > > activo, inclusive Oracle Linux (otro clon de RHEL) lo trae activo por > > default. En esta herramienta Red Hat esta invirtiendo mucho recurso > > (Horas/hombre) para continuar desarrollando controles sobre muchas mas > > aplicaciones que antes no funcionaban con SELinux activo. > > > > En la medida que vallas avanzando en esta profesión iras creando tus > > propias recetas para mantener entornos confiables, utilizo el termino > > confiable porque personalmente creo que lo único seguro es que algún día > > moriré. :D. > > > > Algunas recomendaciones serian: > > > > - Instala únicamente lo que necesites > > - Si tienes un servicio que no utilizas desactívalo o desinstálalo > > - Mantén actualizado tu servidor > > - Actívale el Firewalls y solo permite los puertos que requieras, se un > > poco paranoico y permite el acceso a esos puertos únicamente a las > > direcciones ip de los usuarios que utilizaran el servicio > > - Utiliza tcpwrappers > > - Deja el SELInux activo > > - En la medida de lo posible ubica los logs del sistema en otro servidor > > - Restringe el acceso directo como root > > - Establece un (1) solo usuario que pueda escalar privilegios del root > > - Cambia periódicamente las claves utilizando caracteres alfanuméricos y > no > > palabras que se encuentren en el diccionario > > - Permite el acceso a la maquina (ingreso al SO) únicamente a un rango de > > IP (Admon, operador, usuarios que lo necesiten) > > - Utiliza sudoers para controlar la ejecución de comandos que puedan > > comprometer el SO > > - Restringe el acceso mediante el SSH a usuarios que lo necesite (tunea > > este servicio y todos los servicios que tengas activos en tus servidores) > > - Habilita el uso de certificados en el SSH (llave publica y privada) > > - Utiliza JAIL (Jaulas) > > - Solo utiliza ambiente grafico en los servidores si es absolutamente > > necesario, o sube el ambiente grafico cuando lo necesites luego bájalo > > nuevamente > > - Restringe el reinicio del sistema mediante la terrorífica combinación > de > > teclas Ctrl+Alt+Supr > > - Restringe a una o dos ttys el acceso en consola (por default siempre > > queda en F1, restringe que solo ingresen por F5 por ejemplo). > > - Bloquea las cuentas que no utilicen (puedes implementar esta política y > > el sistema lo realizara automáticamente) > > - Implementa en tu sistema que éste forcé a los usuarios a cambiar su > clave > > periódicamente y que esta no sea la misma que estaban utilizando. > > - Configura tu firewalls para que bloquee los ataques de fuerza bruta > hacia > > el puerto del ssh > > - Cambia los puertos por omisión en las aplicaciones que tengas > instaladas > > en tus servidores > > - Instala un IDS (Software para detectar y prevenir intrusiones en tu > red ) > > - Testea periódicamente (por lo menos dos veces al año) tus servidores en > > busca de vulnerabilidades y remedia las encontradas (puedes usar para > este > > fin Backtrack o Nessus) > > - Revisa periódicamente los logs del SO y de las aplicaciones. > > - Coloca clave al boot (esto te puede implicar el ir a sitio ante un > > reinicio de la maquina por falla eléctrica o algún evento) > > - Cifra las particiones criticas (no olvides la clave porque estas > "frito") > > - Realiza backups de los archivos de configuración de tus servicios, de > las > > aplicaciones y testéalos (realiza pruebas de restauración > periódicamente). > > - Y finalmente con igual o mayor nivel de importancia: Documéntalo todo > > (Esto te permitirá volver a instalar tus servidores y aplicaciones si > > después de tantos controles, alguien entra a tu datacenter y te roba el > > disco duro, se incendian tus equipos, hay una inundación o un > > terremoto jejeje). > > > > > > -- > > Carlos R!. > > _______________________________________________ > > CentOS-es mailing list > > CentOS-es@centos.org > > http://lists.centos.org/mailman/listinfo/centos-es > > > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Tlfs: +58 02512623601 - +58 4125110921. Venezuela.* * Representante Para Venezuela.* _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es