[opensuse-es] [OT] Seguridad actual y 10 maneras de asegurar un desktop con linux
Saludos, Aqui algo que acabo de encontrar. Son articulos en ingles. El de seguridad actual menciona algunos programas actuales y algunas noticias acerca de como se esta haciendo seguridad actualmente....-_- un desastre el otro articulo contiene tips acerca de la seguridad en la pc de escritorio para linux, son claves sencillas, excepto la de no tener software para compartir archivos. Eso es herejia!! ;P Aqui los links: Seguridad en PC de escritorio con linux: http://blogs.techrepublic.com.com/10things/?p=359&tag=nl.e138 Seguridad actual, donde $#%@@ vamos http://blogs.techrepublic.com.com/security/?p=464&tag=nl.e138 Espero que os interese. Carlos A. _________________________________________________________________ Connect to the next generation of MSN Messenger http://imagine-msn.com/messenger/launch80/default.aspx?locale=en-us&source=wlmailtagline--------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
2008/6/2, Ryouga Hibiki:
Seguridad en PC de escritorio con linux: http://blogs.techrepublic.com.com/10things/?p=359&tag=nl.e138
A ver... #1: Bloquear la pantalla y cerrar sesión No suelo hacerlo O:-). Si hay gente pululando, sí. #2: Ocultar archivos y directorios Buf, tampoco, al contrario, lo tengo configurado para que muestre todo lo "ocultable". Si no, no hay quien trabaje :-P #3: Buena contraseña La de siempre, para no olvidarla :-P #4: No instalar programas p2p Esto sí :-). En casa sería pasable instalarlo. #5: Actualizaciones Siempre que no sea viernes, sin problemas :-). Y en horas nocturnas, por si algo no arranca >:-) #6: Antivirus No, sólo spamassassin y clamav en los servidores de correo. En samba, nada. #7: SELinux Bueno, está AppArmour activado. Mientras no dé guerra, se queda activado. #8: /home en partición o disco aparte Puf. Nop. Lo siento. Eso sí, copia de seguridad de /home/usuario/* mínimo una vez a la semana. #9: Uso de escritorio no estándar No lo pillo. ¿Por... para? Si "tos" son iguales (explorador, inicio, programas... consola) Y no sale nada, botón derecho sobre el escritorio O:-) O bueno... poner Gnome. Te impedirá encontrar cualquier cosa que busques, y tras dar diez mil vueltas, abandonarás por hastío :-P (running and ducking) #10: Detener los servicios Sip, lo que no se use mejor detenido. Pero algunos servicios asusta pararlos por los nombres que tienen (por ejemplo, los "boot.*") :-) Añadiría quizá el uso de cortafuegos, revisar los registros de vez en cuando (en equipo casero) casi a diario (en equipo de oficina) y configuración de alertas por e-mail (a nivel de hardware y de servicios). Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Pues que yo hago poco, la maquina arranca y con eso estoy contento =P~ Ya van 3 dias que no recibo nada de la lista... me estoy asustando. Estais todos vivitos y coleando o medio muertos como el vista. XD Solo pregunto, gracias ;) Carlos A. PS: Top posting a proposito, si, en verdad es preocupante cuando no se reciben mensajes de la lista.
Date: Mon, 2 Jun 2008 18:40:07 +0200 From: noelamac@gmail.com To: opensuse-es@opensuse.org Subject: Re: [opensuse-es] [OT] Seguridad actual y 10 maneras de asegurar un desktop con linux
2008/6/2, Ryouga Hibiki:
Seguridad en PC de escritorio con linux: http://blogs.techrepublic.com.com/10things/?p=359&tag=nl.e138
A ver...
#1: Bloquear la pantalla y cerrar sesión
No suelo hacerlo O:-). Si hay gente pululando, sí.
#2: Ocultar archivos y directorios
Buf, tampoco, al contrario, lo tengo configurado para que muestre todo lo "ocultable". Si no, no hay quien trabaje :-P
#3: Buena contraseña
La de siempre, para no olvidarla :-P
#4: No instalar programas p2p
Esto sí :-). En casa sería pasable instalarlo.
#5: Actualizaciones
Siempre que no sea viernes, sin problemas :-). Y en horas nocturnas, por si algo no arranca>:-)
#6: Antivirus
No, sólo spamassassin y clamav en los servidores de correo. En samba, nada.
#7: SELinux
Bueno, está AppArmour activado. Mientras no dé guerra, se queda activado.
#8: /home en partición o disco aparte
Puf. Nop. Lo siento. Eso sí, copia de seguridad de /home/usuario/* mínimo una vez a la semana.
#9: Uso de escritorio no estándar
No lo pillo. ¿Por... para? Si "tos" son iguales (explorador, inicio, programas... consola) Y no sale nada, botón derecho sobre el escritorio O:-)
O bueno... poner Gnome. Te impedirá encontrar cualquier cosa que busques, y tras dar diez mil vueltas, abandonarás por hastío :-P
(running and ducking)
#10: Detener los servicios
Sip, lo que no se use mejor detenido. Pero algunos servicios asusta pararlos por los nombres que tienen (por ejemplo, los "boot.*") :-)
Añadiría quizá el uso de cortafuegos, revisar los registros de vez en cuando (en equipo casero) casi a diario (en equipo de oficina) y configuración de alertas por e-mail (a nivel de hardware y de servicios).
Saludos,
-- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
_________________________________________________________________ News, entertainment and everything you care about at Live.com. Get it now! http://www.live.com/getstarted.aspx-----------------------------------------... Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2/06/08, Ryouga Hibiki escribió:
Pues que yo hago poco, la maquina arranca y con eso estoy contento =P~
El problema será cuando no te arranque >:-)
Ya van 3 dias que no recibo nada de la lista... me estoy asustando. Estais todos vivitos y coleando o medio muertos como el vista. XD
Oye, que aquí en España eso de no trabajar los sábados, domingos y fiestas de guardar lo seguimos al pie de la letra (y si es posible, los viernes por la tarde, también) :-P
Solo pregunto, gracias ;)
Carlos A.
PS: Top posting a proposito, si, en verdad es preocupante cuando no se reciben mensajes de la lista.
Ná, tranquilo. Como dicen los estadounidenses, "No news, good news" :-) Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2/06/08, Lluis Martinez escribió:
Empezaba a mosquearme tambien.
Bueno, en la lista inglesa tampoco hay mucho tráfico. Este fin de semana hubo un problema (un incendio) en uno de los centros de datos (housing, hosting, virtual servers...) más grandes de EE.UU. (The Planet) que dejó unos cuantos miles de sitios web sin servicio. Y no sé si ya habrán vuelto a la normalidad... quizá la gente esté ocupada arreglando y/o cambiando cosas :-? Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-06-02 a las 18:40 +0200, Camaleón escribió:
2008/6/2, Ryouga Hibiki:
Seguridad en PC de escritorio con linux: http://blogs.techrepublic.com.com/10things/?p=359&tag=nl.e138
A ver...
#1: Bloquear la pantalla y cerrar sesión
No suelo hacerlo O:-). Si hay gente pululando, sí.
Exacto. De todos modos, suele autobloquearse cuando salta el salvapantallas.
#2: Ocultar archivos y directorios
Buf, tampoco, al contrario, lo tengo configurado para que muestre todo lo "ocultable". Si no, no hay quien trabaje :-P
No tiene sentido ocultar ficheros, los navegadores los muestran.
#3: Buena contraseña
La de siempre, para no olvidarla :-P
Na, una con dos numeros, dos cambios de mayuscula, y dos simbolos, y distinta de las 10 anteriores. Pa' volverse mico.
#4: No instalar programas p2p
Esto sí :-). En casa sería pasable instalarlo.
Pero es que lo que dice es absurdo: But when at work, you not only open yourself (or your company) up to lawsuits, you open your desktop machine up to other users who might have access to sensitive data on your work PC. ¿De donde rayos van a tener acceso a ficheros sensibles? Tienen acceso a aquello que compartas, nada más. Incluso lo puedes poner bajo apparmour. Es más o menos igual que si compartes directorios en samba accesibles a todo el mundo, el nivel de peligro es similar. Ahora, que tener la mula en el trabajo... como la tengan puesta varios, tiran el router. Cuando una organización (una familia) tiene la mula, está un sólo ordenador que se dedica a eso. Y sí, la he visto en algunos centros de trabajo puesta.
#5: Actualizaciones
Siempre que no sea viernes, sin problemas :-). Y en horas nocturnas, por si algo no arranca >:-)
Si, salvo que tengas una sles/sled, actualizar sin mirar es un riesgo en sí mismo, sobre todo en viernes. Eso sí, conviene tener un applet de esos para enterarte de cuando hay actualizaciones.
#6: Antivirus
No, sólo spamassassin y clamav en los servidores de correo. En samba, nada.
Tener antivirus en todas las maquinas de despacho con linux, no tiene mucho sentido. Ya mirarán el correo en el servidor, tanto a la entrada como a la salida.
#7: SELinux
Bueno, está AppArmour activado. Mientras no dé guerra, se queda activado.
Selinux en suse, no se puede, que yo recuerde. apparmour sí, por supuesto, pero su utilidad es fundamentalmente para los daemons.
#8: /home en partición o disco aparte
Puf. Nop. Lo siento. Eso sí, copia de seguridad de /home/usuario/* mínimo una vez a la semana.
/home aparte, por supuesto, pero no por motivos de que te lo puedan mirar más fácilmente. El motivo es simplemente que permite actualizar el sistema (o instalarlo de nuevo) sin tocar home. Otra posibilidad es encriptar home.
#9: Uso de escritorio no estándar
No lo pillo. ¿Por... para? Si "tos" son iguales (explorador, inicio, programas... consola) Y no sale nada, botón derecho sobre el escritorio O:-)
Se refieren a máquinas de "kiosko", como las que se ponen en el recibidor de salones de convenciones para ver la lista de invitados o donde está el stand de SuSE. Te ponen el navegador, un icono para el navegador, y sin menú de aplicaciones: no puedes arrancar nada salvo el icono del navegador - - salvo que te conozcas los atajos de teclado de ese entorno. Pero eso es seguridad por ocultación, y eso es tentador para el hijo de 14 años del asistente, que es un gurú en potencia, y para el que una ocultación es una invitación a jugar al escondite, con grandes posibilidades de éxito... para él.
O bueno... poner Gnome. Te impedirá encontrar cualquier cosa que busques, y tras dar diez mil vueltas, abandonarás por hastío :-P
¡Grrr! ¡Con lo facilito que es!
(running and ducking)
:-)
#10: Detener los servicios
Sip, lo que no se use mejor detenido. Pero algunos servicios asusta pararlos por los nombres que tienen (por ejemplo, los "boot.*") :-)
Parar el apache y el sshd... a ver, normalmente estarán cerrados en el cortafuegos, y a veces se usan para otras cosas, como mostrar la ayuda. Y el administrador de la sala puede haber previsto el sshd.
Añadiría quizá el uso de cortafuegos, revisar los registros de vez en cuando (en equipo casero) casi a diario (en equipo de oficina) y configuración de alertas por e-mail (a nivel de hardware y de servicios).
El cortafuegos es muy importante, incluso en intranets. Y respecto a los registros, lo importante está en el "warn". - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIREKNtTMYHG2NR9URAgppAJ9+9tiabzlX2cfhFidGocxllD16EgCeLBVE TZBWAsrdUmEkXeoW/h4MpcQ= =jy8u -----END PGP SIGNATURE-----
El 2/06/08, Carlos E. R. escribió:
Pero es que lo que dice es absurdo:
But when at work, you not only open yourself (or your company) up to lawsuits, you open your desktop machine up to other users who might have access to sensitive data on your work PC.
¿De donde rayos van a tener acceso a ficheros sensibles? Tienen acceso a aquello que compartas, nada más. Incluso lo puedes poner bajo apparmour. Es más o menos igual que si compartes directorios en samba accesibles a todo el mundo, el nivel de peligro es similar.
Bueno, no uso programas p2p... pero supongo que la autora parte de la base de que los usuarios no suelen preocuparse mucho por la seguridad ni la configuración (mantenimiento) de los programas, y dejar un hueco abierto en este tipo de aplicaciones es arriesgarse a que pongas de acceso público los datos "sensibles" de la empresa y eso es sancionable por ley (digo, la pérdida de según qué tipo de datos...). Por cierto, al hilo de ésto :-/: Los datos que circulan por los P2P no tienen derechos constitucionales http://www.theinquirer.es/2008/06/01/los_datos_que_circulan_por_los_p2p_no_t... Ten en cuenta que estas aplicaciones no suelen estar bajo la tutela de los administradores (como samba) que son los que se encargan de la configuración y de las actualizaciones de seguridad (en caso de haberlas) y eso es lo "peligroso". No creo que vaya más allá. Ya sabes, como lo del cuchillo en manos inexpertas, que te acaba rebanando un dedo :-).
Ahora, que tener la mula en el trabajo... como la tengan puesta varios, tiran el router. Cuando una organización (una familia) tiene la mula, está un sólo ordenador que se dedica a eso. Y sí, la he visto en algunos centros de trabajo puesta.
Puede ser un BitTorrent a nivel local, para replicar archivos y agilizar las descargas. Eso es práctico, dependiendo del tamaño de la red. En las oficinas suelen tener conexiones un poco más rápidas (>6 megas) :-P Lo que más me preocupa es una mula con windows de por medio :-/. Es una combinación "mortal".
Tener antivirus en todas las maquinas de despacho con linux, no tiene mucho sentido. Ya mirarán el correo en el servidor, tanto a la entrada como a la salida.
Sí, cierto. Pero que el antivirus echara un vistazo a los recursos samba no estaría mal :-)
/home aparte, por supuesto, pero no por motivos de que te lo puedan mirar más fácilmente. El motivo es simplemente que permite actualizar el sistema (o instalarlo de nuevo) sin tocar home.
Pero todo lo de /home es susceptible de ser copiado y replicado. Todo el sistema es susceptible de ser replicado, ¿para qué una partición dedicada? Mientras la gestión de los volúmenes y los discos no sea más transparente (para poder aumentar y reducir bajo demanda), no me convence la idea. No, tampoco me convente la "capa lógica" que añade lvm ni evms ni md / dm ni las controladoras raid. Todos son dependientes :-/
Otra posibilidad es encriptar home.
Lo del cifrado sí requiere de una partición dedicada. Pero no tiene por qué ser necesariamente /home. Los datos puedes estar en otro lado, en un disco aparte, y si es extraíble (para salir corriendo y llevarlo encima), mejor :-).
Se refieren a máquinas de "kiosko", como las que se ponen en el recibidor de salones de convenciones para ver la lista de invitados o donde está el stand de SuSE. Te ponen el navegador, un icono para el navegador, y sin menú de aplicaciones: no puedes arrancar nada salvo el icono del navegador - - salvo que te conozcas los atajos de teclado de ese entorno.
Ah, o.k.
Pero eso es seguridad por ocultación, y eso es tentador para el hijo de 14 años del asistente, que es un gurú en potencia, y para el que una ocultación es una invitación a jugar al escondite, con grandes posibilidades de éxito... para él.
Sí, es curioso. La editora ya ha recurrido en varias ocasiones al tema de "ocultar" las cosas (mal asunto) :-P
¡Grrr! ¡Con lo facilito que es!
Je. El último gnome que probé no me activaba el la tecla del numlock y tuve que instalar un programa (numlockx) dedicado para realizar "tan ardua" función >:-) Y el programa tampoco funcionada X-) Vale, vale... en defensa del "gnome susero" he de decir que no era una suse. Supongo que en suse estará más pulido.
Parar el apache y el sshd... a ver, normalmente estarán cerrados en el cortafuegos, y a veces se usan para otras cosas, como mostrar la ayuda. Y el administrador de la sala puede haber previsto el sshd.
El ssh es muy útil. Yo lo dejaría activado e iniciado. Apache no, pero apache no se instala de serie ¿no?
El cortafuegos es muy importante, incluso en intranets.
Pero es desesperante 8-). Si lo usas en redes mixtas cuesta mucho "afinarlo". Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (4)
-
Camaleón
-
Carlos E. R.
-
Lluis Martinez
-
Ryouga Hibiki