martes, 1 de septiembre de 2015

La Fundación Linux publica un checklist de seguridad para administradores de sistemas


lartLa Fundación Ĺinux ha publicado el conjunto de directrices que deben cumplir sus administradores de sistemas y empleados, para mantener la seguridad de su infraestructura y reducir los riesgos de un ataque.

Son unos consejos de seguridad interesantes, que se pueden adaptar a las necesidades de diferentes proyectos a través de su lista de verificación que abarca varios niveles de seguridad: crítico, moderado, bajo y paranoico (en este último caso, son recomendaciones que mejoran sustancialmente la seguridad, pero que también requieren un elevado trabajo de adaptación a la hora de interactuar con el sistema operativo).
En general se trata de buscar un equilibrio entre la seguridad y la facilidad de uso.
Entre las recomendaciones nos encontramos las referidas a la elección de hardware, en especial el soporte de SecureBoot y UEFI (algo que entraría en la categoría de nivel crítico), aunque también se tiene en consideración la alternativa de Anti Evil Maid, una herramienta que impide que se carguen elementos no deseados (bootkit) durante el arranque.
También se sugiere el uso de sistemas que no contengan puertos Expresscard, firewire o conectores Thunderbolt para evitar el acceso a la memoria del sistema y con chip criptográfico TRM a poder ser.
Se recomienda la elección de distribuciones que tengan habilitado Mandatory Access Controls (MAC) o Role-Based Access Controls (RBAC), mecanismos que limitan la capacidad de los usuarios y establecen roles para acceder a determinadas partes del sistema o realizar determinadas acciones. También el uso de suites de seguridad como AppArmor, SeLinux o GrSecurity/Pax (el autor de este trabajo Konstantin Ryabitsev la considera superior a SeLinux).
Hablando de distros se desaconsejan los spin-offs o variantes comunitarias, ya que es habitual que se retrasen las actualizaciones de seguridad respecto a la distro madre.
El cifrado de disco completo mediante LUKS es otro de esos requisitos imprescindibles. Es imperativo un password o passphase lo suficientemente robusta y prestar especial atención a la particion de intercambio (swap) que también debe ser cifrada, ya que pueden contener datos sensibles.
La partición /boot no es imperativo encriptarla (es posible… pero no se suele hacer para no complicar el arranque del sistema), y dado que no hay datos importantes en la misma , ese tema estaría cubierto por SecureBoot.
Firefox es la opción recomendada para acceder exclusivamente a webs relacionadas con nuestro trabajo. Al navegador de Mozilla lo deben acompañar sus complementos NoScript, Privacy Badger, HTTPS EveryWhere y Certificate Patrol.
A la hora de boludear o pasar el rato en otras webs, lo mejor es tirar de Chrome/Chromium.
También se plantea el uso de maquinas virtuales para separar la actividad laboral de la personal, en especial se menciona el uso de Qubes para proveer ese aislamiento.
Otras recomendaciones que nos podemos encontrar en este checklist, hacen referencia a la seguridad de los firewalls, a servicios como sshd que debe estar deshabilitados por defecto, utilización de gestores de contraseñas (KeePassX), cifrado GPG/PGP, echar un vistazo a los logs, hacer backups utilizando sitios como spideroak (por aquello del “cero conocimiento”), la posibilidad de instalar un detector de rootkits como Rkhunter, o un sistema de detección de intrusos tipo aide o tripwire.
Si queréis más información sobre como fortalecer la seguridad de vuestros sistemas o simplemente conocer las políticas de IT de la Fundación Linux, podéis consultar el checklist completo en GitHub.
Fuente | Konstantin Ryabitsev (Director of Collaborative IT Services at The Linux Foundation)
Categories: , ,

0 comentarios: