Herramientas de diagnóstico para ayudarnos a reforzar nuestro sistema

Solapas principales

Algunas herramientas de diagnóstico para ayudarnos a reforzar nuestro sistema y localizar vulnerabilidades en la configuración de Debian. No están todas las que son, pero son todas las que están

Se advierte que todo análisis extra conlleva un gasto de recursos del sistema y una configuración inadecuada puede consumir bastantes recursos y ralentizar un sistema casero. A veces el remedio es peor que la enfermedad.

 

Sistema de permisos.

Lo primero que hay que entender en Debian sobre la seguridad es el sistema de permisos de Linux,. Los comandos passwd, su/login, chmod y chown son imprescindibles y hay que dominarlos

 

Tiger

Tiger es un conjunto de scripts de bash, programas C y archivos de datos con el objetivo principal de hacer informes sobre todos los modos posibles en los cuales el sistema actual puede ser comprometido. Puede correrse periódicamente para usarse como mecanismo de detección de intrusos. Usa varios programas externos como  John the Ripper, Chkroot, Tripwire,
 Integrit or Aide y está asociado a cron y a e-mail .

linea de comandos

tiger

Un segundo comando del programa explica las vulnerabilidades asociadas con cada problema

 

tigexp REF

Donde ref es la referencia indicada entre corchetes en cada linea del log, (ej. tigexp pass04w)

Tiger es viejo, venerable, y bastante util, aunque tiene algunas pegas también. No es siempre intuitivo. Al lanzarlo simplemente corre los tests pero no saca ningún resultado en pantalla de modo que no tiene mucho sentido enchufarlo a less. Hay que examinar el archivo log creado posteriormente. Requiere instalar programas que podrían usarse para atacar el sistema  y su principal pecado es que durante los tests puede ralentizar bastante el resto del sistema, lo que le hace pesado a veces si se usa desde cron. Hacer caso a este programa sin pensarlo mucho me ha creado varios líos gordos en el pasado y me ha llenado el correo de mensajes sobre su uso, bordeando el spam. Para usuarios avanzados que sepan lo que tocan y puedan configurarlo bien.

 

Lynis

Herramienta mucho más moderna de auditoría para endurecer sistemas GNU/Linux, Solaris, FreeBDS y otros basados en Unix. Escanea la configuración del sistema y crea un resumen de la información relevante sobre problemas de seguridad utilizables por auditores profesionales.

Línea de comandos

lynis audit system --verbose | less -R

El comando realiza un par de cientos de tests sobre el sistema, busca vulnerabilidades y muestra el resultado. Hace sugerencias sobre paquetes útiles no instalados y además puntua nuestro sistema según su fortaleza o grado de exposición, lo que nos permite hacernos una idea rápidamente de como está la cosa

El programa también tiene un equivalente a tigexp:

lynis show details REF

 Donde ref es la referencia concreta asociada cada una de las sugerencias que el programa hace al final

 

auditd

The audit package contains the user space utilities for storing and searching the audit records generated by the audit subsystem in the Linux 2.6 kernel. Contienen audisp

El sistema de reglas es complejo de aprender y no es intuitivo, pero permite vigilar archivos concretos que no deban de ser modificados. Para logear los intentos de escritura (w) o acceso (a) a un archivo importante una regla posible sería por ejemplo

-w /dir/miarchivo -p wa -k miarchivo-intentos-acceso-y-escritura.log

 

Firewall

Iptables

Muy potente, muy complejo. Esencial pero zorruno. Hay que tener cuidado con su permanencia porque engaña bastante. A menos que lo configuremos bien y se lo indiquemos explícitamente se resetea sin avisar al apagar el PC. Tras meter reglas durante una hora y creernos que estámos cubiertos al día siguiente vuelve a estar en blanco y en realidad no hace nada. Se recomienda encarecidemante instalar iptables-persistent y tirarse varias horas con los manuales. Que son criminales (por complejo) dicho sea de paso. Hay varios paquetes adicionales que simplifican la taréa, pero este es un programa en el que hay que saber lo que hace exactamente. Y eso implica dolor, mucho dolor.

 

Bastille

Parece que ya no está en Debian pero es otro de los antiguos que estuvo durante mucho tiempo. Lo recuerdo más como una fuente de problemas que como una ayuda. No le llegué a pillar el punto.

 

Tripwire, aide,

Tripwire y aide crean una instantánea del sistema para comparar que archivos han cambiado. Son adecuados fundamentalmente para stable. Tienen menos sentido en testing o unstable en donde se supone que los archivos cambian de una semana para otra.

 

Nagios

 

Programas para detección de malware, puertas traseras y virus

Rkhunter y Chkrootkit .

Básicos. Ojo en chkrootkit que tiende a lanzar algunos falsos positivos bien conocidos. Puede crearnos alarma sin motivo real. Ver opcion -e

Clamav. Antivirus.

 

Otros

Selinux, Pam (control de login), Grub (apartado de contraseñas), etc...