Red Hat
Red Hat Linux 6.0
Durante la instalación de Red Hat 6.0, llegará un momento en que te deje implementar contraseñas con shadow, y contraseñas MD5, ambas están habilitadas por defecto, y es una buena idea dejarlas así. También se debería actualizar el kernel de la Red Hat 6.0, pues sufre de un molesto ataque de negación de servicio (basado en icmp).
SuSE
SuSE Linux 6.1
Uno de los empleados de SuSE (Marc Heuse) ha escrito unas cuantas utilidades interesantes para SuSE Linux, disponibles en: http://www.suse.de/~marc/ La primera se llama "Harden SuSE" y trata de eliminar objetos punzantes, reforzar los permisos de los ficheros, eliminar demonios, etcétera. El segundo, "SuSE security check" es un conjunto de scripts que comprueban el fichero de contraseñas por limpieza, una vez al mes saca un listado de todos los paquetes instalados, etc.
Caldera
Caldera OpenLinux 2.2
Caldera tiene una instalación gráfica para la 2.2 llamada "lizard", con un buen número de características interesantes. Durante la instalación, te forzará a crear una cuenta de usuario, lo cual con un poco de suerte ayudará a que la gente no haga login como root constantemente. De igual forma, hay una entrada para "sulogin" en el fichero /etc/inittab, lo cual quiere decir que no se puede escribir simplemente "linux single" en el prompt del boot de lilo y volcarte directamente a modo comandos como root, primero hay que introducir la contraseña del root. Sin embargo existen ciertos problemas con la instalación por defecto que será necesario corregir.
inetd.conf
El fichero inetd.conf es el que controla diferentes servicios relativos a Internet, y tiene algunos servicios activados que son peligrosos:
echo stream tcp nowait root internal
echo dgram udp wait root internal
discard stream tcp nowait root internal
discard dgram udp wait root internal
daytime stream tcp nowait root internal
daytime dgram udp wait root internal
chargen stream tcp nowait root internal
chargen dgram udp wait root internal
gopher stream tcp nowait root /usr/sbin/tcpd gn
shell stream tcp nowait root /usr/sbin/tcpd in.rshd
login stream tcp nowait root /usr/sbin/tcpd in.rlogind
exec stream tcp nowait root /usr/sbin/tcpd in.rexecd
talk dgram udp wait nobody.tty /usr/sbin/tcpd in.talkd
ntalk dgram udp wait nobody.tty /usr/sbin/tcpd in.ntalkd
uucp stream tcp nowait uucp /usr/sbin/tcpd /usr/sbin/uucico –l
Todos deberían estar comentados (situando un "#" al principio de cada línea), y reiniciando inetd con "killall -1 inetd"
portmap
Uno de los servicios que la gente preferirá desactivar es el portmap, que es utilizado por varios servicios, como el nfs, y tiene un historial de problemas. Desactivarlo en OpenLinux es algo penoso, puesto que se arranca desde el mismo script que inicia el inetd. Se puede eliminar el paquete portmap ("rpm -e portmap") o se puede ir al /etc/rc.d/init.d/inet y editar lo siguiente:
NAME1=inetd
DAEMON1=/usr/sbin/$NAME1
NAME2=rpc.portmap
DAEMON2=/usr/sbin/$NAME2
por:
NAME1=inetd
DAEMON1=/usr/sbin/$NAME1
#NAME2=rpc.portmap
#DAEMON2=/usr/sbin/$NAME2
y:
# Bail out if neither is present
[ -x $DAEMON1 ] || [ -x $DAEMON2 ] || exit 2
por:
# Bail out if neither is present
[ -x $DAEMON1 ] || exit 2
y:
[ -x $DAEMON1 ] && ssd -S -n $NAME1 -x $DAEMON1 -- $INETD_OPTIONS
[ -x $DAEMON2 ] && ssd -S -n $NAME2 -x $DAEMON2 -- $PORTMAP_OPTIONS
por:
[ -x $DAEMON1 ] && ssd -S -n $NAME1 -x $DAEMON1 -- $INETD_OPTIONS
# [ -x $DAEMON2 ] && ssd -S -n $NAME2 -x $DAEMON2 -- $PORTMAP_OPTIONS
y después comentar por completo lo siguiente:
NFS=""
cat /etc/mtab | while read dev mpoint type foo; do
[ "$type" = "nfs" ] && NFS="$mpoint $NFS"
done
if [ -n "$NFS" ]; then
echo -n "Unmounting NFS filesystems: "
POLICY=I # Ignore 'device busy' during shutdown
[ "$PROBABLY" != "halting" ] && POLICY=1 # exit on 'busy'
for mpoint in $NFS; do
SVIrun S $POLICY "$mpoint" "!$mpoint" \
umount $mpoint
done
echo "."
fi
amd
Otro servicio que se instala por defecto en OpenLinux 2.2 es el demonio Auto Mount (amd). Permite definir directorios y dispositivos en lugares nfs, de forma que se puede definir /auto/cdrom como /dev/cdrom, de forma que cuando se haga un "cd /auto/cdrom" el sistema monte automáticamente el /dev/cdrom como /auto/cdrom con las opciones adecuadas (sólo-lectura, etc.). El servicio amd utiliza un número de puerto semi-aleatorio, normalmente en el rango 600-800. Por supuesto que este servicio es muy útil en una estación de trabajo, les ahorra a los usuarios el tener que montar manualmente cada dispositivo removible cada vez que quieran utilizarlo (siendo el cdrom y el disquette los más habituales). Sin embargo no lo recomendaría para servidores, debido al historial de problemas que ha tenido el amd. Desactivarlo es sencillo, sencillamente hay que eliminar los enlaces simbólicos de "S30amd" a "K70amd".
mv /etc/rc.d/rc3.d/S30amd /etc/rc.d/rc3.d/K70amd
mv /etc/rc.d/rc5.d/S30amd /etc/rc.d/rc5.d/K70amd
SSH
Los rpm's del SSH no se encuentran disponibles para OpenLinux 2.2 (quiero decir, no he encontrado ninguno). Desgraciadamente, los rpm's de Red Hat fallan, y los rpm's fuente también fallan al compilarse, el SSH se compila limpiamente desde el código fuente, sin problemas. El código fuente se puede obtener de: ftp://ftp.replay.com/pub/replay/crypto/SSH/ . Para empezar con sshd como mínimo es necesario ejecutar el "/usr/local/bin/sshd" al arrancar, buscará sus ficheros de configuración dentro de /etc y debería iniciarse sin problemas.
Novell
Todavía no he probado el software de Novell, desconozco si existe alguna incidencia.
Actualizaciones
Las actualizaciones de Caldera OpenLinux 2.2 se encuentran disponibles en:
ftp://ftp.calderasystems.com/pub/openlinux/2.2/current/RPMS/TurboLinux
TurboLinux 3.6
El TurboLinux tiene una instalación muy parecida a la de Red Hat, te va guiando a través de consolas basadas en texto y va haciendo preguntas, después el sistema instala los paquetes y hay que configurar algunas cosas (como el X). Existen un par de pequeñas incidencias con TurboLinux que habrá que "reparar", y existen varias utilidades que vienen de forma standard con TurboLinux, que ya pudieran venir incluidas en las otras distribuciones (como sudo).
inetd.conf
El inetd.conf de TurboLinux viene de una forma relativamente adecuada, sin embargo ciertos servicios como rsh y rlogin vienen habilitados por defecto, recomendaría desactivarlos.
shell stream tcp nowait root /usr/sbin/tcpd in.rshd
login stream tcp nowait root /usr/sbin/tcpd in.rlogind
talk dgram udp wait nobody.tty /usr/sbin/tcpd in.talkd
ntalk dgram udp wait nobody.tty /usr/sbin/tcpd in.ntalkd
Todos estos deberían estar comentados (colocando un "#" delante de cada línea), y reiniciando el inetd con "killall -1 inetd"
inittab
El TurboLinux (como la mayoría de las distribuciones) te deja arrancar en modo monousuario, sin pedir contraseña para acceder al sistema como root. Habrá que poner la palabra "restricted" en lilo.conf y añadir una contraseña para evitar que la gente arranque el sistema en modo monousuario sin contraseña.
ipchains
El ipchains no viene con el CD de instalación, se encuentra en el CD que lo acompaña, o en el sitio ftp: ftp://ftp.turbolinux.com/pub/TurboLinux/tlw-3.6-companion/TurboContrib/RPMS/. Por supuesto que recomendaría instalar el ipchains y filtrar con el cortafuegos la máquina.
SSH
Los rpm's del SSH no se encuentran disponibles para TurboLinux 3.6. Se aplica lo mismo que para el párrafo de Red Hat.
Tripwire
Una cosa que viene incluida en el CD que acompaña a TurboLinux es una copia del Tripwire, recomendaría utilizarlo. No estoy seguro del tipo de licencia que tiene (p. ej., si es gratuita exclusivamente para uso no comercial, o una licencia, o qué). Parece ser la versión 1.3 del Tripwire, de modo que no es comercial.
El CD acompañante
Como ya se ha dicho anteriormente, el CD acompañante contiene un montón de utilidades extra (como Tripwire), al igual que:
Amanda (un interesante programa de copias de seguridad)
ipmasqadm (utilizado para hacer redireccionamiento de puertos a nivel de kernel)
ipchains (utilizado para configurar el cortafuegos)
ProFTPD (un servidor ftp mejor que el WuFTPD)
Squid (un servidor ftp y proxy www)
Tripwire (crea valores de checksum de los ficheros y te advierte si cambian)
Actualizaciones
Las actualizaciones del TurboLinux 3.6 (Miami) se encuentran disponibles en: ftp://ftp.turbolinux.com/pub/TurboLinux/turbolinux-updates/3.6/
Debian
Debian 2.1
Aún sin evaluar.
Slackware
Slackware Linux 4.0
Aún sin evaluar.
Copyright © 1999, Kurt Seifried, José Antonio Revilla
Todos los derechos reservados.