meta data de esta página
  •  

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
seguridad:ens:centos [2019/04/29 12:21] lcseguridad:ens:centos [2023/01/18 13:37] (actual) – editor externo 127.0.0.1
Línea 1: Línea 1:
 ===== Guía Seguridad sobre máquinas con Centos ===== ===== Guía Seguridad sobre máquinas con Centos =====
-Guía CCN-STIC-619+[[https://www.ccn-cert.cni.es/pdf/guias/series-ccn-stic/guias-de-acceso-publico-ccn-stic/3674-ccn-stic-619-implementacion-de-seguridad-sobre-centos7/file.html|Guía CCN-STIC-619 ]]
  
 ==== Guía Seguridad ==== ==== Guía Seguridad ====
Línea 25: Línea 25:
   * Bloquear el acceso a la línea de comandos Grub. Sólo tiene que ser accesible por root y mediante contraseña   * Bloquear el acceso a la línea de comandos Grub. Sólo tiene que ser accesible por root y mediante contraseña
  
 +Las  particiones  se  pueden  montar  de  distintas  formas  para  que  limiten  determinados permisos:
 +  * Noauto: La partición no se montará automáticamente.
 +  * Noexec: La partición no admitirá la ejecución de ficheros desde la misma.
 +  * Nodev: La partición no admitirá la instalación de dispositivos.
 +  * Permisos (ro), (rw):La partición se configurará con permisos read-only (ro, solo lectura), read-write (rw, lectura y escritura)
  
 +Recomendacionesde seguridad para las particiones:
 +  * boot -> noauto, noexec, nodev, nosuid, ro.
 +<note>Si hay que actualizar el kernel habría que montar temporalmente la partición **boot** como **rw**</note>
 +  * /boot/efi. -> umask=0077, shortname=winnt  <dump>  0 <pass> 0
 +  * /usr y /opt -> nodev, ro
 +<note>para actualizar o instalar una nueva aplicación habría que montar temporalmente la partición correspondiente como **rw**</note>
 +  * /var -> defaults, nosuid
 +  * /var/log -> nodev, noexec, nosuid, rw.
 +  * /var/log/audit -> nodev, noexec, nosuid, rw.
 +  * /var/www -> nodev, noexec, nosuid, rw
 +  * /home y /tmp -> nodev, noexec, nosuid, rw
 +  * /media/XXX -> noauto, nodev,nosuid, rw
 +  * swap -> defaults,<dump> 0 <pass> 0.
 +
 +=== Seguridad Red ===
 +  * Direcciones ip fijas 
 +  * deshabilitar protocolos no utilizados : Zeroconf, ipv6 si no se utiliza, 
 +<note>Para  prevenir  ataques  a  algunos protocolos (dccp, sctp, rds, tipc)se añaden archivos **.conf** al directorio **/etc/modprobe.d** para  que  se  ejecute la  shell **/bin/false** en  lugar  de  cargar  el  módulo  del protocolo indicado</note>