La mega guía para endurecer y asegurar CentOS 7 - Parte 2


Continuando con el tutorial anterior sobre cómo proteger CentOS 7, en este artículo analizaremos otros consejos de seguridad que se presentarán en la siguiente lista de verificación.

  1. The Mega Guide To Harden and Secure CentOS 7 – Part 1

21. Deshabilitar los comandos SUID y SGID inútiles

Si los bits setuid y setgid se configuran en programas binarios, estos comandos pueden ejecutar tareas con otros derechos de usuario o grupo, como los privilegios root Puede exponer seriamente problemas de seguridad.

A menudo, los ataques de desbordamiento de búfer pueden explotar estos binarios ejecutables para ejecutar código no autorizado con los derechos de un usuario root.

# find /  -path /proc -prune -o -type f \( -perm -4000 -o -perm -2000 \) -exec ls -l {} \;

Para desarmar el bit setuid ejecute el siguiente comando:

# chmod u-s /path/to/binary_file

Para desarmar el bit setgid ejecute el siguiente comando:

# chmod g-s /path/to/binary_file

22. Compruebe si hay archivos y directorios sin propiedad

Los archivos o directorios que no son propiedad de una cuenta válida deben eliminarse o asignarse con permisos de un usuario y grupo.

Ejecute el siguiente comando para listar los archivos o directorios sin usuario ni grupo.

# find / -nouser -o -nogroup -exec ls -l {} \;

23. Lista de archivos de escritura mundial

Mantener el archivo de escritura de palabras en el sistema puede ser peligroso debido al hecho de que cualquiera puede modificarlos. Ejecute el siguiente comando para mostrar archivos de escritura de palabras, excepto Symlinks , que siempre se pueden escribir en todo el mundo.

# find / -path /proc -prune -o -perm -2 ! -type l –ls

24. Crea contraseñas fuertes

Crea una contraseña de mínimo ocho caracteres. La contraseña debe contener dígitos, caracteres especiales y letras mayúsculas. Utilice pwmake para generar una contraseña de 128 bits desde el archivo /dev/urandom .

# pwmake 128

25. Aplicar la Política de Contraseña Fuerte

Obligue al sistema a usar contraseñas seguras agregando la línea a continuación en el archivo /etc/pam.d/passwd .

password required pam_pwquality.so retry=3

Al agregar la línea anterior, la contraseña ingresada no puede contener más de 3 caracteres en una secuencia monotónica, como abcd , y más de 3 caracteres consecutivos idénticos, como 1111 .

Para obligar a los usuarios a usar una contraseña con una longitud mínima de 8 , incluidas todas las clases de caracteres, la comprobación de la fuerza de las secuencias de caracteres y los caracteres consecutivos agrega las siguientes líneas a /etc/seguridad /pwquality.conf archivo.

minlen = 8
minclass = 4
maxsequence = 3
maxrepeat = 3