Blindaje de nuestro sistema(Parte IV)

En el artículo de la semana pasada,Blindaje de nuestro sistema(Parte III), vimos como blindar nuestro sistema utilizando LIDS y GrSecurity, en el artículo de esta semana vamos a continuar viendo otros métodos que podemos utilizar para blindar nuestros sistemas.

Recordemos que blindar un sistema es el proceso que consiste en hacer más seguro nuestro sistema corrigiendo las opciones permisivas que traiga activadas de forma predeterminada el sisitema operativo, siguiendo con los programas que nos ayudarán a blindar nuestros sistemas, en esta ocasión veremos LCAP y SELinux.

LCAP(Linux Kernel Capability Bounding set Editor) permite a los administradores de sitemas editar las capabilitys bounding sets del núcleo, que es una lista de capacidades de control de acceso basados en el propio núlceo del sistema, al que se puede encanchar cualquier proceso.

Con LCAP el administrador va a poder eliminar las capacidades que desee para hacer el sistema mas seguro, ya que si una capacidad se elimina del bounding set, no será utilizada por ningún proceso del sistema.

LCAP modifica el fichero sysctl:/proc/sys/kernel/cap-bound, cuando se elimina una capacidad del conjunto, no será utilzable hasta que se reinicie el sistema, además permite generar un script en /etc/init.d, que se ejecuta al inicio del sistema, y que no elimina las capacidades que queramos.

La funcionalidad principal de LCAP puede conseguirse con otros programas como por ejemplo LIDS que nos permite un control más granular, por lo que no es un programa que recomiende, ya que hay otros que hacen lo mismo y más, pero me ha parecido interesante el saber que existe.

Una de las herramientas que si recomiendo es la utilización de Security-Enhanced Linux(Seguridad mejorada en Linux), o más conocido como SELinux.

SELinux ha sido fundada por la NSA(Nacional Security Agency) y programada en colaboración con Network Associate, se trata de un parche de seguridad para el núcleo de Linux que habilita un nivel de seguridad de usuario extremo.
Con SELinux es posible confinar un programa con el menor nivel de acceso necesario para que pueda realizar la tarea necesaria, funcionando en un estado falso-cerrado, que siginifica que tenemos que facilitarle al núcleo una lista de todos los privilegios que son necesarios para que los programas se ejecuten correctamente o sino fallarán.

Otra de las cosas que destacan de SELInux es que por ejemplo el usuario root es otro usuario más, sin privilegios especiales, además está programado bajo licencia GPL lo que significa que la NSA, agencia es famosa por su secretismo y por ser el objetivo de muchas conspiraciones, a proporcionado un parche de seguridad Open Source que puede utilizarse para mejorar la seguridad del sistema, y aunque en un principio muchas personas temían que pudiera ser un intento de abrir puertas traseras o de instalar algún tipo de spyware en sistemas Linux, el código está limpio y cumple con su propósito con creces.

Como podeís ver poner un sistema en funcionamiento con SELinux es bastante complicado, pero tendréis un sistema extremadamente seguro.

Con el artículo de esta semana hemos visto dos nuevas programas que podemos utilizar para hacer nuestros sistemas más seguros y más fiables, la semana siguiente seguiremos viendo más programas para blindar nuestros sistemas.