Go to main content

Guía de seguridad de Oracle SuperCluster serie M7

Salir de la Vista de impresión

Actualización: Febrero de 2016
 
 

Desactivación de servicios innecesarios (servidores de cálculo)

  1. Inicie sesión en uno de los servidores de cálculo y acceda a la consola del host como superusuario.

    Consulte Inicio de sesión en un servidor de cálculo y cambio de la contraseña por defecto.

  2. Desactive el monitor de estado NFS si el sistema no está en servidor o un cliente NFS.

    Este servicio interactúa con lockd(1M) para proporcionar las funciones de bloqueo y recuperación para los servicios de bloqueo en NFS.

    # svcadm disable svc:/network/nfs/status
  3. Desactive el servicio de gestor de bloqueo de NFS si no está usando NFS o si está usando NFSv4.

    El gestor de bloqueo de NFS admite operaciones de bloqueo de registro en archivos NFS de NFSv2 y NFSv3.

    # svcadm disable svc:/network/nfs/nlockmgr
  4. Si el sistema no está montando archivos, puede desactivar el servicio de cliente NFS o desinstalar su paquete.

    El servicio de cliente NFS solamente es necesario si el sistema está montando archivos desde un servidor NFS. Para obtener más información, consulte la página del comando man mount_nfs(1M).

    # svcadm disable svc:/network/nfs/client
  5. Desactive el servicio del servidor NFS en un sistema que no sea un servidor de archivos NFS.

    El servicio de servidor NFS administra las solicitudes del sistema de archivos de cliente mediante NFS versión 2, 3 y 4. Si este sistema no es un servidor NFS, desactive el servicio.

    # svcadm disable svc:/network/nfs/server
  6. Si no está usando FedFS para registros SRV de DNS o referencias basadas en LDAP, desactive el servicio.

    El servicio de cliente del sistema de archivos federados (FedFS) gestiona los valores por defecto y la información de conexión para servidores LDAP que almacenan información de FedFS.

    # svcadm disable svc:/network/nfs/fedfs-client
  7. Desactive el servicio rquota.

    El servidor de cuota remote devuelve cuotas para un usuario de un sistema local de archivos montado mediante NFS. El comando quota(1M) usa los resultados para mostrar las cuotas de usuario para sistemas de archivos remotos. El comando inetd(1M) generalmente invoca el daemon rquotad(1M). El daemon proporciona información acerca de la red para usuarios potencialmente maliciosos.

    # svcadm disable svc:/network/nfs/rquota
  8. Desactive el servicio cbd.

    El servicio cbd gestiona puntos finales de comunicación para el protocolo NFS versión 4. El daemon nfs4cbd(1M) ejecuta el cliente NFS versión 4 y crea un puerto de listener para devoluciones de llamadas.

    # svcadm disable svc:/network/nfs/cbd
  9. Desactive el servicio mapid si no está usando NFSv4.

    El servicio de daemon de asignación de ID y usuario de NFS realiza asignaciones desde y hasta los atributos de identificación owner y owner_group de la versión 4 de NFS y los números de UID y GID local usados por el servidor y el cliente de la versión 4 de NFS.

    # svcadm disable svc:/network/nfs/mapid
  10. Desactive el servicio ftp.

    El servicio FTP proporciona servicio de transferencia de archivos no cifrados y usa autenticación de texto sin formato. Use el programa de copia segura scp(1) en lugar de ftp, ya que proporciona autenticación cifrada y transferencia de archivos.

    # svcadm disable svc:/network/ftp:default
  11. Desactive el servicio de gestor de volumen remoto.

    El gestor de volumen removible es un gestor de volumen que reconoce HAL que puede montar y desmontar automáticamente medios y almacenamiento conectable en caliente. Es posible que los usuarios importen programas malintencionados o transfieran datos confidenciales fuera del sistema. Para obtener más información, consulte la página del comando man rmvolmgr(1M).

    Este servicio solamente se ejecuta en la zona global. 

    # svcadm disable svc:/system/filesystem/rmvolmgr
  12. Desactive el servicio smserver.

    El servicio smserver se usa para acceder a los dispositivos de medios extraíbles.

    # svcadm disable rpc/smserver:default
  13. Especifique pam_deny.so.1 como módulo para la pila de autenticación de los servicios de r-protocol en el directorio /etc/pam.d.

    Por defecto, los servicios heredados, como r-protocols, rlogin(1) y rsh(1), no están instalados. Sin embargo, estos servicios se definen en /etc/pam.d. Si elimina las definiciones de servicio de /etc/pam.d, los servicios usan los demás servicios (por ejemplo, SSH) en caso de que los servicios heredados estén activados.

    # cd /etc/pam.d
# cp rlogin rlogin.orig
# pfedit rlogin
auth definitive pam_deny.so.1
auth sufficient pam_deny.so.1
auth required pam_deny.so.1
# cp rsh rsh.orig
# pfedit rsh
auth definitive pam_deny.so.1
auth sufficient pam_deny.so.1
auth required pam_deny.so.1
  14. Edite el archivo /etc/default/keyserv para cambiar el valor de ENABLE_NOBODY_KEYS a NO.

    El servicio keyserv no puede usar la clave de usuario nobody. El valor de ENABLE_NOBODY_KEYS es YES por defecto.

    # pfedit /etc/default/keyserv
. . .
ENABLE_NOBODY_KEYS=NO
  15. Agregue usuarios al archivo ftpusers para restringir el acceso a ftp.

    Las transferencias de archivos FTP no deben estar disponibles para todos los usuarios y deben requerir que los usuarios calificados suministren sus nombres y contraseñas. En general, los usuarios del sistema no deben tener permiso para usar FTP. Esta comprobación verifica que las cuentas del sistema se han incluido en el archivo /etc/ftpd/ftpusers, de modo que no tienen permiso para usar FTP.

    El archivo /etc/ftpd/ftpusers se usa para prohibir a los usuarios que usen el servicio FTP. Como mínimo, incluya todos los usuarios del sistema, como root, bin, adm, etc.

    # pfedit /etc/ftpd/ftpusers
....
root
daemon
bin
...
  16. Configure una máscara de creación de archivos por defecto segura mediante el servidor FTP.

    El servidor FTP no necesariamente usa la máscara de creación de archivos del sistema del usuario. La configuración del comando umask del FTP garantiza que los archivos transmitidos mediante FTP usarán un comando umask de creación de archivos seguro.

    # pfedit /etc/proftpd.conf
Umask          027
  17. Desactive las respuestas a las consultas de topología de red.

    Es importante desactivar las respuestas a las solicitudes de eco. Las solicitudes de ICMP se gestionan mediante el comando ipadm.

    Estos ajustes impiden la difusión de información sobre la topología de la red. 

    # ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
# ipadm set-prop -p _respond_to_echo_broadcast=0 ip
  18. Desactive los mensajes de ICMP de redireccionamiento.

    Los enrutadores utilizan los mensajes de redireccionamiento de ICMP para informar a los hosts sobre rutas más directas hacia un destino. Un mensaje de redireccionamiento de ICMP ilícito puede generar un ataque de tipo "man-in-the-middle". 

    # ipadm set-prop -p _ignore_redirect=1 ipv4
  19. Desactive mesg(1) para evitar que talk(1) y write(1) accedan a las terminales remotas. 
    # mesg -n
  20. (Opcional) Revise y desactive la escucha de servicios innecesarios en la red.

    Por defecto, ssh(1) es el único servicio de red que puede enviar y recibir paquetes de red.

    # svcadm disable FMRI_of_unneeded_service
Copyright © 2016, Oracle y/o sus filiales. Todos los derechos reservados. 
Anterior
Siguiente