Principios de fortificación de un sistema Linux

Uno de los derivados más importantes de la fortificación de un sistema Linux es el registro de eventos a través del servicio syslog. Los logs o eventos de sistema se envían remotamente a través de esta servicio, permitiéndose su recepción y por tanto el almacenamiento en equipos externos.

El hecho de no tener este servicio habilitado es considerado una vulnerabilidad del equipo pues provoca la pérdida de logs en caso de llenado del buffer de almacenamiento (local).

Se pueden almacenar entonces todos los registros del equipo, siendo esto de gran utilidad a la hora de realizar análisis forenses. Éstos, prácticamente, no son posibles sin el servicio syslog habilitado, pues normalmente se requiere una amplia batería de pruebas de los registros del equipos en las fechas previas y posteriores a la intrusión.

Además, el acceso a estos archivos es restringido, o al menos una buena configuración debería contemplar este hecho, pues se trata de información importante para la organización. Es de requerimiento casi obligado que “grupos” y “otros” no tengan acceso a estos archivos.

Existen además herramientas que sirven para visualizar y supervisar periódica o eventualmente aquellos eventos previamente configurados por el administrador.

Esto hace que además de tener almacenados los registros, se puedan recibir alertas en caso de intrusión de un atacante malicioso en un equipo dentro de la organización, de manera que se pueda detectar de manera casi inmediata (con el envío de un correo electrónico por ejemplo) todas la anomalías que pueden producirse.

Áudea Seguridad de la Información S.L.

Departamento de Gestión

Nuria Acinas García

www.audea.com