Herramientas de usuario
cursoacelerado
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anterior Revisión previa Próxima revisión | Revisión previa Última revisión Ambos lados, revisión siguiente | ||
|
cursoacelerado [2014/06/30 01:14] fmolinuevo [16.1. [ ] SMTP/POP3/IMAP: conceptos, definiciones, funcionamiento] |
cursoacelerado [2014/09/04 06:59] fmolinuevo |
||
|---|---|---|---|
| Línea 165: | Línea 165: | ||
| - /datos (o /srv): es la partición donde se almacenarán los archivos de la empresa, usuarios, y toda clase de datos útiles directamente a las personas de la institución. Por lo tanto, siguiendo con el supuesto de una unidad de almacenamiento de 1TB, asigno el resto de la misma a esta función, dejando así más de 500GB disponibles. | - /datos (o /srv): es la partición donde se almacenarán los archivos de la empresa, usuarios, y toda clase de datos útiles directamente a las personas de la institución. Por lo tanto, siguiendo con el supuesto de una unidad de almacenamiento de 1TB, asigno el resto de la misma a esta función, dejando así más de 500GB disponibles. | ||
| - /home: habitualmente este directorio contiene archivos muy pequeños que se crean automáticamente al dar de alta a los usuarios. Si no se necesita que los usuarios almacenen archivos personales, con que penda de la raíz es suficiente. | - /home: habitualmente este directorio contiene archivos muy pequeños que se crean automáticamente al dar de alta a los usuarios. Si no se necesita que los usuarios almacenen archivos personales, con que penda de la raíz es suficiente. | ||
| + | |||
| + | |||
| ===== 3. Conociendo el funcionamiento de Linux ===== | ===== 3. Conociendo el funcionamiento de Linux ===== | ||
| Línea 1168: | Línea 1170: | ||
| ==== 16.2. [ ] Postfix: instalación y configuración del servidor SMTP ==== | ==== 16.2. [ ] Postfix: instalación y configuración del servidor SMTP ==== | ||
| + | Postfix es un SMTP seguro, eficiente, flexible y poderoso. Sus archivos de configuración están en /etc/postfix, y los principales son main.cf y master.cf. En el primero se define la mayor parte de la configuración del servicio, mientras que en el segundo se configuran los procesos y sistemas que forman parte de Postfix. | ||
| + | |||
| + | Algunas de las variables más importantes que se debe configurar en main.cf son: | ||
| + | |||
| + | myorigin = $myhostname | ||
| + | inet_interfaces = $myhostname, localhost | ||
| + | mydestination = $myhostname, localhost.$mydomain, localhost | ||
| + | |||
| + | En master.cf para activar el puerto seguro 465, se debe descomentar el siguiente bloque de configuración: | ||
| + | |||
| + | <code> | ||
| + | smtps inet n - n - - smtpd | ||
| + | -o smtpd_tls_wrappermode=yes | ||
| + | -o smtpd_sasl_auth_enable=yes | ||
| + | -o smtpd_client_restrictions=permit_sasl_authenticated,reject | ||
| + | -o milter_macro_daemon_name=ORIGINATING | ||
| + | </code> | ||
| ==== 16.3. [ ] CyrusIMAP: instalación y configuración del servidor IMAP/POP3 ==== | ==== 16.3. [ ] CyrusIMAP: instalación y configuración del servidor IMAP/POP3 ==== | ||
| + | Cyrus IMAP proveerá la posibilidad a los usuarios de leer su correo electrónico. Sus archivos de configuración están en /etc y son imapd.conf y cyrus.conf. | ||
| + | |||
| + | En el primero se define la configuración del servicio IMAP: | ||
| + | |||
| + | <code> | ||
| + | configdirectory: /var/lib/imap | ||
| + | partition-default: /var/spool/imap | ||
| + | admins: cyrus | ||
| + | sievedir: /var/lib/imap/sieve | ||
| + | sendmail: /usr/sbin/sendmail | ||
| + | hashimapspool: true | ||
| + | sasl_pwcheck_method: saslauthd | ||
| + | sasl_mech_list: PLAIN | ||
| + | tls_cert_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem | ||
| + | tls_key_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem | ||
| + | tls_ca_file: /etc/pki/tls/certs/ca-bundle.crt | ||
| + | </code> | ||
| + | |||
| + | Mientras que el segundo configura los procesos que forman parte del sistema IMAP. Por ejemplo, si se desea desactivar la posibilidad de que los usuarios utilicen POP3, se deben comentar ambas líneas en ese archivo: | ||
| + | |||
| + | <code> | ||
| + | # add or remove based on preferences | ||
| + | imap cmd="imapd" listen="imap" prefork=5 | ||
| + | imaps cmd="imapd -s" listen="imaps" prefork=1 | ||
| + | #pop3 cmd="pop3d" listen="pop3" prefork=3 | ||
| + | #pop3s cmd="pop3d -s" listen="pop3s" prefork=1 | ||
| + | sieve cmd="timsieved" listen="sieve" prefork=0 | ||
| + | </code> | ||
| ==== 16.4. [ ] Otros sistemas que colaboran con el servidor de correo-e ==== | ==== 16.4. [ ] Otros sistemas que colaboran con el servidor de correo-e ==== | ||
| Línea 1368: | Línea 1415: | ||
| ==== 19.5. [ ] Otras ideas y posibilidades: chroot, clustering ==== | ==== 19.5. [ ] Otras ideas y posibilidades: chroot, clustering ==== | ||
| + | **chroot**: es una operación que cambia la raíz del sistema para el proceso en ejecución y sus hijos. Un proceso que corre en esta "jaula chroot" no puede acceder archivos fuera del árbol de directorios que se le asignó. Se usa para pruebas, acceso a sistemas dañados, instalación remota de sistemas operativos y separación de privilegios entre otros usos | ||
| + | |||
| + | **clustering**: un cluster es un conjunto de computadoras interconectadas y configuradas de manera de actuar como una sola para ciertas operaciones. Se obtienen así ventajas de rendimiento, de confiabilidad y tiempo de operación, o ambas. Linux ofrece gran flexibilidad, sumado a la confiabilidad y potencia del sistema operativo, para la creación de clústeres muy grandes. Todas las supercomputadoras más poderosas corren en Linux | ||
| ===== 20. Seguridad: conceptos, filosofía, métodos de ataque y verificación de la seguridad de un sistema ===== | ===== 20. Seguridad: conceptos, filosofía, métodos de ataque y verificación de la seguridad de un sistema ===== | ||
| Línea 1403: | Línea 1453: | ||
| **Port scanning**: proceso de buscar qué puertos están en estado de escucha (listening) en un equipo remoto | **Port scanning**: proceso de buscar qué puertos están en estado de escucha (listening) en un equipo remoto | ||
| - | ==== 20.2. [ ] Detección de intrusiones: snort, tiger ==== | + | ==== 20.2. [ ] Detección de intrusiones: snort, tripwire ==== |
| **Snort**: es un sistema de detección de intrusiones (IDS), extensible, poderoso, flexible y que permite responder a las amenazas de manera automatizada | **Snort**: es un sistema de detección de intrusiones (IDS), extensible, poderoso, flexible y que permite responder a las amenazas de manera automatizada | ||
| - | **Tiger**: es una colección de scripts que se utilizan para auditar un sistema Linux de manera automática | + | **Tripwire**: es un sistema que se utiliza para auditar un sistema Linux de manera automática. Debe ser instalado inmediatamente después del sistema operativo, para poder asegurar que el mismo está perfectamente limpio |
| - | ==== 20.3. [ ] Revisión de seguridad: tiger, nmap, chkrootkit, rkhunter ==== | + | ==== 20.3. [ ] Revisión de seguridad: tripwire, nmap, chkrootkit, rkhunter ==== |
| - | **Tiger** permite analizar los aspectos más importantes y básicos de la seguridad de un sistema. **Nmap** es un completo sistema de análisis remoto de seguridad de equipos mediante escaneo de puertos. **Chkrootkit** y **RKHunter** son dos sistemas de búsqueda de rootkits. | + | **Tripwire** permite analizar los aspectos más importantes y básicos de la seguridad de un sistema, pero debe ser instalado sobre un sistema limpio. **Nmap** es un completo sistema de análisis remoto de seguridad de equipos mediante escaneo de puertos. **Chkrootkit** y **RKHunter** son dos sistemas de búsqueda de rootkits. |
| ==== 20.4. [ ] Otras ideas interesantes sobre seguridad ==== | ==== 20.4. [ ] Otras ideas interesantes sobre seguridad ==== | ||
| El análisis de los requerimientos, sumados a un buen esquema de implementación, y a la aplicación de medidas básicas, avanzadas y creativas permite lograr un alto nivel de seguridad en sistemas Linux. | El análisis de los requerimientos, sumados a un buen esquema de implementación, y a la aplicación de medidas básicas, avanzadas y creativas permite lograr un alto nivel de seguridad en sistemas Linux. | ||
| + | |||
| + | * Bloquear logins de usuarios que no lo necesiten | ||
| + | * Mantener el sistema con los paquetes mínimos e instalados desde fuentes confiables | ||
| + | * Proteger /bin, /lib, /sbin y otros directorios imprescindibles | ||
| + | * Enjaular los demonios más importantes como DNSs, HTTP servers, SMTP, etc | ||
| + | * Revisar el rotado de logs | ||
| + | * En SSH limitar el acceso exclusivamente a los usuarios que realmente lo necesitan | ||
| + | * Establecer una política de seguridad y seguirla | ||
| + | * Establecer una rutina de análisis de seguridad y seguirla | ||
| + | * Implementar sistemas automáticos de análisis básico como logwatch | ||
| ==== 20.5. [ ] Firewall: Netfilter/Iptables ==== | ==== 20.5. [ ] Firewall: Netfilter/Iptables ==== | ||
cursoacelerado.txt · Última modificación: 2014/10/22 08:46 por fmolinuevo
Herramientas de la página
Excepto donde se indique lo contrario, el contenido de este wiki esta bajo la siguiente licencia: CC Attribution-Noncommercial-Share Alike 4.0 International
