Tenía un tiempo que no trabajaba con el viejo Jack, por trabajo y demás. Lo que si es que en este mundo de la Seguridad y Administración de Sistemas, tenemos muchas experiencias, vemos y nos topamos con debilidades de seguridad, esto me lleva siempre a ir anotando las mejoras y las ideas que van llegando a mi cabeza para reducir lo más posible la superficie de exposición de un servidor de Linux. Pues pude sacar un tiempo y ahora les voy a comentar lo que hemos agregado a la herramienta y algunas cosas que debemos tener pendientes. Si no conoces el proyecto de JackTheStripper, date un vuelta por aquí.
Por el momento los cambios están para las versiones de Ubuntu Server 14.04LTS y 15.04LTS, pero iré actualizando las otras versiones y de la misma manera el post para que estén informados.
Hablemos de las Mejoras.
- Agregamos reglas más estrictas para Iptables, mediante un script que creamos y que se ejecuta en el inicio.
- Agregamos en Apache Protección para ataques de ClickJacking, XSS, Ataques a los Cookies, Peticiones peligrosas, entre otros.
- Agregamos Más módulos de protección a apache, contra ataques Slowloris e inyección DNS.
- Deshabilitamos Ipv6 y agregamos mas directivas de seguridad para el kernel via Sysctl.
- Se instala y actualiza RootKit Hunter para escaneo de RootKits.
- Se asegura la consola y se restringe el acceso remoto de root.
- Permisos Mas restrictivos para el home de root, y las configuraciones de Grub
- Restringimos el acceso a Cron exclusivamente a Root y Desinstalamos AT
- Se instala la Herramienta Unhide, ver mas de la herramienta Aquí
- Se instala el Sistema de Auditorías y Detección de instrusos Tiger.
- Se deshabilitan algunos compiladores
- Permisos mas restrictivos para los archivos de configuración de Apache
Estos cambios vienen siguiendo la base de algunas herramientas de auditorías de Seguridad, entre ellas Lynis de la que he hablado aquí en el blog.
Aquí iré colocando las versiones que vaya actualizando con los nuevos cambios.
- Ubuntu 14.04 LTS
- Ubuntu 15.04 LTS
Es bueno mencionar que como hay más controles en la configuración de Apache, es necesario que prueben sus aplicaciones en ambientes de prueba y confirmen que juegan bien con los controles configurados por JackTheStripper. De igual forma un servidor asegurado con JTS está apto para entrar en producción sin problemas y con un Excelente nivel de seguridad.
Mas Cambios?
La respuesta es si, como les comente al inicio en este mundo tenemos muchas experiencias y siempre vamos aprendiendo modos de ir mejorando las cosas, así que esperen ver muchos más controles. Otra cosa que desde siempre ha rondado mi cabeza y me lo han comentado, es extender un poco más el alcance de JTS. Que no solo sea asegurar servidores LAMP, si no que podamos utilizar en otras implementaciones, como por ejemplo, hace un tiempo lo modifiqué para montar un Reverse Proxy, y eso es lo que ando buscando,además de que lo podamos utilizar en servidores Nginx.
La idea principal, como menciona al principio es Reducir lo más posible la Superficie de Exposición de un servidor de Linux.
Además de actualizar ya la página propia de JackTheStripper, siempre me gusta crear un post para que vayan conociendo las ideas que tenemos con el proyecto y que podemos esperar de el a futuro.
Otro punto es que los invito a visitar los repositorios del proyecto y ver el código, que aunque no corran la herramienta, lo pueden usar de guía para asegurar sus servidores.
Ya los próximos cambios los estaré colocando en la página del proyecto, así que no dejen de pasar por ahí.
Links de Interés: Página del Proyecto | Repo en Launchpad | Repo en GitHub
Fuente: jsitech
