Tras leer toda la información de los capítulos anteriores podría pensar «Tengo que hacer una gran cantidad de cosas para reforzar mi sistema, ¿no podrían hacerse estas cosas de forma automática?». La respuesta es sí, pero sea cuidadoso con las herramientas de automatización. Hay gente que cree que una herramienta de fortalecimiento no elimina la necesidad de una buena administración. Por tanto, no se engañe pensando que puede automatizar el proceso completo y con eso solucionar todos los asuntos relacionados. La seguridad es siempre un proceso activo en el cual el administrador tiene que participar y no limitarse a esperar a que las herramientas hagan todo el trabajo, puesto que ninguna herramienta individual puede arreglárselas por sí misma: con todas las posibles implementaciones de las directrices de seguridad, con todos los ataques y en todos los entornos.
Desde woody (Debian 3.0) hay dos paquetes específicos, útiles para reforzar la seguridad. El paquete harden que realiza una aproximación basada en las dependencias del paquete para instalar rápidamente valiosos paquetes de seguridad y eliminar otros defectuosos, la configuración de los paquetes tiene que hacerla el administrador. El paquete bastille que implementa una política de seguridad dada en el sistema local basada en configuraciones anteriores del administrador (la configuración puede hacerse mediante un procedimiento guiado en el que se deberá ir contestando sí/no a preguntas sencillas).
The
harden package tries to make it more easy to install and administer hosts that need good security. This package should be used by people that want some quick help to enhance the security of the system. It automatically installs some tools that should enhance security in some way: intrusion detection tools, security analysis tools, etc. Harden installs the following
virtual packages (i.e. no contents, just dependencies or recommendations on others):
harden-tools: herramientas para mejorar la seguridad del sistema (comprobadores de integridad, detección de intrusos, parches del núcleo...)
harden-environment: ayuda a configurar un sistema fortalecido (actualmente vacío).
harden-servers: elimina servidores considerados inseguros por alguna razón.
harden-clients: elimina clientes considerados inseguros por alguna razón.
harden-remoteaudit: herramientas para realizar auditorías de un sistema de forma remota.
harden-nids: helps to install a network intrusion detection system.
harden-surveillance: helps to install tools for monitoring of networks and services.
Useful packages which are not a dependence:
Vaya con cuidado, porque si tiene software que le resulte necesario (y no desea desinstalarlo por alguna razón) pero entra en conflicto con alguno de los paquetes mencionados anteriormente, podría implicar limitaciones en el uso de
harden. Los paquetes «harden» no hacen nada (directamente). Sin embargo, tienen conflictos intencionados con paquetes conocidos como no seguros. De esta forma, el sistema de gestión de paquetes de Debian no aprobará la instalación de estos paquetes. Por ejemplo, si intenta instalar un demonio de telnet con
harden-servers,
apt dirá:
# apt-get install telnetd
Se ELIMINARÁN los siguientes paquetes:
harden-servers
Se instalarán los siguientes paquetes NUEVOS:
telnetd
¿Quiere continuar? [S/n]
Esto debería hacer saltar la alarma en la cabeza del administrador, llevándole a reconsiderar sus acciones.