Proviene del artículo: 25 trucos de seguridad para servidores Linux (1 de 2)
Escriba primero:
chkconfig –list
# chkconfig –list | grep :on
O simplemente utilizar el siguiente comando para ver los servicios que se activan sólo para el nivel de ejecución 3.
# chkconfig –list | grep 3:on
A continuación, podría utilizar un comando como este para eliminar el servicio de puesta en marcha.
# chkconfig –del ‘service-name’
Consejo # 13 – Desinstale X Windows
Considere la posibilidad de la eliminación total de X Windows en el sistema y sólo con la línea de comandos para la gestión. No hay nada que usted pueda hacer en la interfaz gráfica de usuario que no se puede hacer uso de la línea de comandos y la eliminación no sólo va a mejorar la seguridad, sino también el rendimiento porque no se desperdician los recursos del sistema que muestra la interfaz gráfica de usuario.
Consejo # 14 – Secure Kernel Linux
Usted puede asegurar su Kernel Linux modificando el archivo / etc / sysctl.conf, este archivo es leído por el núcleo durante el arranque y puede ser editado con los siguientes valores para añadir seguridad adicional.
# Turn on execshield
kernel.exec-shield = 1
kernel.randomize_va_space = 1
# Don’t reply to broadcasts. Prevents joining a smurf attack
net.ipv4.icmp_echo_ignore_broadcasts = 1
# Enable protection for bad icmp error messages
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Enable syncookies for SYN flood attack protection
net.ipv4.tcp_syncookies = 1
# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Log spoofed, source routed, and redirect packets
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
# Don’t allow source routed packets
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
# Don’t allow outsiders to alter the routing tables
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
# Don’t pass traffic between networks or act as a router
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
Consejo # 15 – Instalar los parches del kernel Linux
Usted debe tener una política de seguridad para el manejo de los parches del kernel Linux, la cual debe incluir los anuncios de seguridad de Linux se han recibido las actualizaciones han sido probados para asegurar que los problemas no se plantean y que los parches se han instalado en el sistema. Asegúrese siempre de que los servidores de producción se actualizan con regularidad para evitar cualquier posible vulnerabilidad conocida de la explotación en el sistema.
Consejo # 16 – particiones separadas
Debe crear particiones separadas para los directorios de usuario modificable y bloquear el acceso de escritura y ejecución a las particiones que no sean necesarios. Usted debe considerar la colocación de los siguientes sistemas de archivos en particiones diferentes.
/usr
/home
/var and /var/tmp
/tmp
A continuación, puede editar el archivo / etc / fstab para impedir la ejecución de archivos binarios, desactivar los dispositivos de bloques en la partición y evitar que el / SUID SGID de ser puesta en los archivos. He aquí una entrada fstab común para limitar el acceso del usuario al directorio ftpdata.
/dev/sda5 /ftpdata ext3 defaults,noexec,nodev,nosuid 1 2
Consejo # 17 – Use las extensiones de seguridad de Linux
Hacer uso de software como SELinux, AppArmor o GRSecurity para proporcionar endurecimiento adicional a su Kernel Linux. Estos productos proporcionan las políticas adicionales para restringir los procesos y servicios basados en listas de control de acceso.
Leer más…