Algunas herramientas de diagnóstico para ayudarnos a reforzar nuestro sistema y localizar vulnerabilidades en la configuración de Debian. No están todas las que son, pero son todas las que están
Se advierte que todo análisis extra conlleva un gasto de recursos del sistema y una configuración inadecuada puede consumir bastantes recursos y ralentizar un sistema casero. A veces el remedio es peor que la enfermedad.
Sistema de permisos.
Lo primero que hay que entender en Debian sobre la seguridad es el sistema de permisos de Linux,. Los comandos passwd, su/login, chmod y chown son imprescindibles y hay que dominarlos
Tiger
Tiger es un conjunto de scripts de bash, programas C y archivos de datos con el objetivo principal de hacer informes sobre todos los modos posibles en los cuales el sistema actual puede ser comprometido. Puede correrse periodicamente para usarse como mecanismo de detección de intrusos. Usa varios programas externos como John the Ripper, Chkroot, Tripwire,
Integrit or Aide y está asociado a cron y a e-mail .
linea de comandos
tiger
Un segundo comando del programa explica las vulnerabilidades asociadas con cada problema
tigexp REF
Donde ref es la referencia indicada entre corchetes en cada linea del log, (ej. tigexp pass04w)
Tiger es viejo, venerable, y bastante util, aunque tiene algunas pegas también. No es siempre intuitivo. Al lanzarlo simplemente corre los tests pero no saca ningun resultado en pantalla de modo que no tiene mucho sentido enchufarlo a less. Hay que examinar el archivo log creado posteriormente. Requiere instalar programas que podrían usarse para atacar el sistema y su principal pecado es que durante los tests puede ralentizar bastante el resto del sistema, lo que le hace pesado a veces si se usa desde cron. Hacer caso a este programa sin pensarlo mucho me ha creado varios líos gordos en el pasado y me ha llenado el correo de mensajes sobre su uso, bordeando el spam. Para usuarios avanzados que sepan lo que tocan y puedan configurarlo bien.
Lynis
Herramienta mucho más moderna de auditoría para endurecer sistemas GNU/Linux, Solaris, FreeBDS y otros basados en Unix. Escanea la configuración del sistema y crea un resumen de la información relevante sobre problemas de seguridad utilizables por auditores profesionales.
Línea de comandos
lynis audit system --verbose | less -R
El comando realiza un par de cientos de tests sobre el sistema, busca vulnerabilidades y muestra el resultado. Hace sugerencias sobre paquetes útiles no instalados y además puntua nuestro sistema según su fortaleza o grado de exposición, lo que nos permite hacernos una idea rápidamente de como está la cosa
El programa también tiene un equivalente a tigexp:
lynis show details REF
Donde ref es la referencia concreta asociada cada una de las sugerencias que el programa hace al final
auditd
The audit package contains the user space utilities for storing and searching the audit records generated by the audit subsystem in the Linux 2.6 kernel. Contienen audisp
El sistema de reglas es complejo de aprender y no es intuitivo, pero permite vigilar archivos concretos que no deban de ser modificados. Para logear los intentos de escritura (w) o acceso (a) a un archivo importante una regla posible sería por ejemplo
-w /dir/miarchivo -p wa -k miarchivo-intentos-acceso-y-escritura.log
Firewall
Iptables
Muy potente, muy complejo. Esencial pero zorruno. Hay que tener cuidado con su permanencia porque engaña bastante. A menos que lo configuremos bien y se lo indiquemos explícitamente se resetea sin avisar al apagar el PC. Tras meter reglas durante una hora y creernos que estámos cubiertos al día siguiente vuelve a estar en blanco y en realidad no hace nada. Se recomienda encarecidemante instalar iptables-persistent y tirarse varias horas con los manuales. Que son criminales (por complejo) dicho sea de paso. Hay varios paquetes adicionales que simplifican la taréa, pero este es un programa en el que hay que saber lo que hace exactamente. Y eso implica dolor, mucho dolor.
Bastille
Parece que ya no está en Debian pero es otro de los antiguos que estuvo durante mucho tiempo. Lo recuerdo más como una fuente de problemas que como una ayuda. No le llegué a pillar el punto.
Tripwire, aide,
Tripwire y aide crean una instantánea del sistema para comparar que archivos han cambiado. Son adecuados fundamentalmente para stable. Tienen menos sentido en testing o unstable en donde se supone que los archivos cambian de una semana para otra.
Nagios
Programas para detección de malware, puertas traseras y virus
Rkhunter y Chkrootkit .
Básicos. Ojo en chkrootkit que tiende a lanzar algunos falsos positivos bien conocidos. Puede crearnos alarma sin motivo real. Ver opcion -e
Clamav. Antivirus.
Otros
Selinux, Pam (control de login), Grub (apartado de contraseñas), etc...