La seguridad de un sistema Linux a menudo implica verificar regularmente la configuración, que suele ser común a varios sistemas. Por ejemplo, en un grupo de 50 servidores Linux donde se desea cambiar el puerto predeterminado del servicio SSH, es útil contar con una herramienta que permita saber rápidamente si se realizó la configuración. Este es un ejemplo donde se puede usar LBSA (Linux Basic Security Audit script).
Este script bash (.sh) tiene como objetivo realizar una serie de verificaciones de seguridad del sistema para generar un informe final sobre los puntos a mejorar. El objetivo es tener un conjunto de puntos de seguridad verificados para establecer una base de seguridad del sistema.
Entre las verificaciones realizadas por el script:
- Permisos en los directorios
.sshde los usuarios - Vulnerabilidades en el montaje o los permisos asignados a montajes y directorios comunes (ej:
/ tmp) - Configuración SSH (puerto, RootPermitLogin, …)
- Tipo y solidez del hash usado en el archivo
/ etc/shadow - etc.
Es importante saber que el script no es exhaustivo y el hecho de que no reporte puntos a mejorar no significa que tu sistema esté 100% seguro. LBSA solo verifica los puntos de seguridad para los que está diseñado y seguramente no irá más allá. LBSA solo sirve para tener una base de verificación en el sistema.
Contenido: Todo sobre LBSA
Uso del script LBSA
Lo primero que hay que hacer es copiar el script en tu sistema. Puedes encontrarlo rápidamente en el siguiente sitio: LBSA – Linux Basic Security Audit script
Luego, en tu sistema, abre un archivo (yo lo llamo lbsa.sh) con tu editor de texto favorito y copia el contenido del script (¡no lo copies a mano!). Guarda el archivo y hazlo ejecutable. También ajusta los permisos para que no pueda ser modificado por cualquiera:
chmod 500 lbsa.shEntonces puedes ejecutar el script para que realice sus verificaciones:
./lbsa.shNota: Es importante saber que LBSA no realiza ninguna modificación de configuración ni escritura en el sistema.
Dependiendo de la configuración de tu sistema, verás una serie de consejos. Por ejemplo, en un sistema Debian 7 con SSH configurado de forma predeterminada, puedes ver los siguientes consejos:
El script LBSA recomienda fortalecer el hash usado en el archivo / etc/shadow, que por defecto está hashido una vez (1 ronda). LBSA aconseja configurar varias “rondas” de hash para hacer más complejo y lento el craqueo de este hash, incluso proporciona la línea de comando asociada.
Aquí hay consejos sobre los permisos que se deben configurar en la configuración de SSH para que no sea fácilmente modificable. También se encuentran recomendaciones sobre los permisos que se deben asignar a los directorios SSH.
Lee también: Mejores Prácticas de Seguridad para Mitigar Ataques SSH
Un uso frecuente de LBSA es configurarlo para que se ejecute regularmente y así detectar cambios de configuración que podrían indicar la presencia de una intrusión. Durante una intrusión, un atacante a menudo intenta cambiar algunas configuraciones para volver más tarde o tener más privilegios. LBSA y la diferencia en sus resultados pueden entonces resaltar un cambio de configuración o una modificación de permisos en comparación con una verificación anterior, por ejemplo.
Modificación y personalización de LBSA
El hecho de que este script sea en bash hace que su modificación y adaptación a cualquier entorno sea muy sencilla si se tienen algunos conocimientos de bash. De hecho, se puede adaptar las verificaciones de seguridad a una política de seguridad corporativa añadiendo verificaciones adicionales directamente integradas en el script.
Por ejemplo, puedo agregar la verificación de diferentes permisos en una carpeta personal, pero pueden ser otras verificaciones más complejas. Para ello, basta con comprender cómo se escribió el script y agregar nuestras propias verificaciones, aprovechando la base de verificación que proporciona LBSA.
