Date: Tue, 2 Mar 2004 01:10:46 -0700 (MST) From: "Jesus R.Camou" <jcamou@cox.net> To: FreeBSD-gnats-submit@FreeBSD.org Subject: docs/63634: [patch] Add section to the Security chapter (Spanish handbook). Message-ID: <20040302081046.EAAC53138@nightfall.cox.net> Resent-Message-ID: <200403020920.i229K5cE065070@freefall.freebsd.org>
next in thread | raw e-mail | index | archive | help
>Number: 63634 >Category: docs >Synopsis: [patch] Add section to the Security chapter (Spanish handbook). >Confidential: no >Severity: non-critical >Priority: medium >Responsible: freebsd-doc >State: open >Quarter: >Keywords: >Date-Required: >Class: update >Submitter-Id: current-users >Arrival-Date: Tue Mar 02 01:20:05 PST 2004 >Closed-Date: >Last-Modified: >Originator: Jesus R. Camou >Release: FreeBSD 4.9-STABLE i386 >Organization: >Environment: System: FreeBSD nightfall.cox.net 4.9-STABLE FreeBSD 4.9-STABLE #8: Sat Feb 7 15:25:07 PST 2004 sku@nightfall.cox.net:/usr/obj/usr/src/sys/NIGHTFALL i386 >Description: Add a section to the security chapter of the Spanish handbook. Section id: securing-freebsd >How-To-Repeat: >Fix: --- security2.diff begins here --- Index: chapter.sgml =================================================================== RCS file: /home/ncvs/doc/es_ES.ISO8859-1/books/handbook/security/chapter.sgml,v retrieving revision 1.3 diff -u -r1.3 chapter.sgml --- chapter.sgml 1 Feb 2004 12:14:06 -0000 1.3 +++ chapter.sgml 2 Mar 2004 09:04:21 -0000 @@ -180,6 +180,124 @@ detener, el cual puede desconectar el sistema de Internet. Pueden no quebrar el sistema, pero saturaran la conexión a Internet.</para> + </sect1> + + <sect1 id="securing-freebsd"> + <title>Asegurando FreeBSD</title> + <indexterm> + <primary>seguridad</primary> + <secondary>asegurando FreeBSD</secondary> + </indexterm> + + <note> + <title>Comando vs. Protocolo</title> + <para>A través de este documento usaremos el texto en <application> + negrita</application> para referirnos a un comando o aplicación. + Esto se utiliza para casos tales como ssh, puesto que es tanto un protocolo + como un comando.</para> + </note> + + <para>Las siguientes secciones cubrirán los métodos para asegurar + su sistema FreeBSD que fueron mencionados en la <link linkend="security-intro"> + sección anterior</link> a este capítulo.</para> + + <sect2 id="seuring-root-and-staff"> + <title>Asegurando la cuenta <username>root</username> y las cuentas de + staff</title> + <indexterm> + <primary><command>su</command></primary> + </indexterm> + + <para>Antés que nada, no se preocupe en asegurar las cuentas + del staff si aun no ha asegurado la cuenta <username>root</username>. + La mayor parte de los sistemas tienen asignada una clave de acceso + a la cuenta <username>root</username>. Lo primero que usted debe + asumir es que la contraseña <emphasis>siempre</emphasis> + comprometida. Esto no significa que tenga que remover la + contraseña. La contraseña es casi siempre necesaria + para el acceso a la consola de la computadora. Esto significa que + usted no debe permitir utilizar la contraseña fuera de la consola o + igualarla posiblemente con el comando &man.su.1;. Por ejemplo, + cerciorese de que sus ptys sean correctamente especificados como + inseguros en el archivo <filename>/etc/ttys</filename> para rechazar + conexiones directas a <username>root</username> via <command>telnet + </command> o <command>rlogin</command>. Si se usan otros servicios + tales como <application>sshd</application>, asegurese de que las + conexiones directas a <username>root</username> esten deshabilitadas. + Es posible hacer esto editando el fichero <filename>/etc/ssh/sshd_config + </filename>, asegurando que <literal>PermitRootLogin</literal> este + fijado como <literal>NO</literal>. Considere cada método de + servicio tal como FTP que puede caer a menudo en cracks. Las + conexiones directas a <username>root</username> deben ser solamente + permitidas fisicamente en la consola de sistema.</para> + <indexterm> + <primary><groupname>wheel</groupname></primary> + </indexterm> + + <para>Por supuesto, como administrador de sistema usted debe poder + accesar <username>root</username>, nosotros tenemos algunas formas + de conseguirlo. Nos aseguraremos de que estas formas tengas + autenticación adicional. Una de las formas de hacer <username> + root</username> accesible es agregar cuentas apropiadas del staff al + grupo <groupname>wheel</groupname> (en <filename>/etc/group</filename>). + Se permite a los miembros del staff puestos en el grupo <groupname>wheel + </groupname> usar el comando <command>su</command> para accesar <username> + root</username>. Nunca debe dar a miembros del staff acceso nativo a + <groupname>wheel</groupname> cuando se crea la cuenta. Las cuentas del + staff deben estar colocadas en grupos de <groupname>staff</groupname>, + para después agregar a aquellos deseados al grupo <groupname> + wheel</groupname> en el fichero <filename>/etc/group</filename>. + Solamente a aquellos que realmente se necesiten en este grupo deben ser + agregados. Es también posible usar un método de + autentificación tal como Kerberos, utilizar el fichero <filename> + .k5login</filename> en la cuenta <username>root</username> para permitir + a &man.ksu.1; que <username>root</username> no necesite a nadie en el + grupo <groupname>wheel</groupname>. Esta puede ser una mejor + solución puesto que el meanismo de <groupname>wheel</groupname> + todavía permite al intruso romper <username>root</username>, + si el intruso ha conseguido quebrar el archivo de contraseñas + y el grupo del staff. Mientrás que usar el mecanismo de + <groupname>wheel</groupname> es mejor que no tener nada en lo absoluto, + no es necesariamente la opción mas segura.</para> + + <para>Una manera indirecta de asegurar las cuentas del staff y usar el + acceso a <username>root</username> de ultima instancia es usar un + método de acceso alternativo conocido como <quote>starring</quote>. + Este método marca las contraseñas cifradas con un solo + <quote><literal>*</literal></quote>. Este comando pondra al dia el + fichero de <filename>/etc/master.passwd</filename> y la base de datos + de usuario/contraseña para desabilitar los logins con + autentificación de contraseña.</para> + + <para>Una cuenta del staff como esta:</para> + + <programlisting>foobar:R9DT/Fa1/LV9U:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh</programlisting> + + <para>Debe ser cambiado a:</para> + + <programlisting>foobar:*:1000:1000::0:0:Foo Bar:/home/foobar:/home/local/bin/tcsh</programlisting> + + <para>Este cambio evitará que las conexiones normales ocurran, ya que + la contraseña cifrada nunca coincidirá con <quote><literal> + *</literal></quote>. Habiendo hecho esto, los miembros del staff deberán + usar otros métodos de autentificación como &man.kerberos.1; + o &man.ssh.1;, usando public/private keys. Al usar algo como Kereberos, + uno debe asegurar generalmente las máquinas que corran los + servidores Kereberos, asi como también su estación de trabajo. + Al usar public/private keys con ssh, uno debe asegurar generalmente la + máquina usada para hacer el login (generalmente una estación + de trabajo). Una capa adicional de protección se puede agregar + a los public/private keys protegiendo con contraseña al momento de + crearlo con &man.ssh-keygen.1;. Pudiendo <quote>marcar</quote> las + contraseñas de las cuentas del staff también garantiza + que los miembros del staff pueden solamente accesar el sistema por medio + de un método seguro. Esto forza a los miembros del staff a accesar + el sistema usando solamente formas seguras y conexiones cifradas para + todas sus sesiones, lo que cierra un hoyo importante usado por muchos + intrusos.</para> + + + </chapter> <!-- --- security2.diff ends here --- >Release-Note: >Audit-Trail: >Unformatted:
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?20040302081046.EAAC53138>