馃攼 "Fortaleza Linux: Gu铆a pr谩ctica de Hardening en openSUSE Leap para entornos seguros"
Introducci贸n.
La seguridad en sistemas operativos es un componente fundamental para garantizar la confidencialidad, integridad y disponibilidad de la informaci贸n. En este contexto, el presente desarrollo aborda la implementaci贸n de un conjunto de pr谩cticas de hardening orientadas al sistema operativo openSUSE Leap, con el objetivo de reducir su superficie de ataque, proteger los servicios cr铆ticos y reforzar los mecanismos de control de acceso. Este proceso incluye la configuraci贸n segura de contrase帽as, servicios de red, permisos de archivos, autenticaci贸n, copias de seguridad, y otros elementos clave que contribuyen a una postura de seguridad s贸lida en entornos Linux.
Marco Te贸rico.
1. Seguridad en sistemas operativos.
La seguridad en sistemas operativos es el conjunto de mecanismos y pr谩cticas dise帽adas para proteger la integridad, confidencialidad y disponibilidad de los recursos del sistema. Esto implica restringir el acceso no autorizado, prevenir la ejecuci贸n de c贸digo malicioso, garantizar la autenticidad de los usuarios y asegurar la correcta operaci贸n del sistema frente a fallos o ataques.
Los sistemas operativos de tipo Unix/Linux, como openSUSE Leap, ofrecen m煤ltiples herramientas y capas de seguridad integradas, las cuales pueden fortalecerse mediante procesos estructurados de endurecimiento del sistema, conocidos como hardening.
2. Hardening: concepto y objetivos.
El hardening (endurecimiento) es el proceso de asegurar un sistema mediante la reducci贸n de vulnerabilidades, eliminaci贸n de servicios innecesarios, configuraci贸n segura de componentes y aplicaci贸n de controles restrictivos. Su finalidad es minimizar la superficie de ataque que un atacante podr铆a aprovechar, al tiempo que se mantiene la funcionalidad esencial del sistema.
Entre los objetivos espec铆ficos del hardening se encuentran:
Limitar accesos no autorizados.
Asegurar las credenciales de autenticaci贸n.
Restringir permisos a archivos y directorios cr铆ticos.
Configurar pol铆ticas de seguridad para usuarios y servicios.
Auditar, monitorear y responder ante eventos sospechosos.
3. openSUSE Leap como entorno seguro.
openSUSE Leap es una distribuci贸n de Linux reconocida por su estabilidad, soporte empresarial y herramientas administrativas como YaST (Yet another Setup Tool). Esta distribuci贸n proporciona mecanismos nativos para fortalecer la seguridad del sistema, tales como:
AppArmor para control de acceso a nivel de aplicaci贸n.
Firewalld para gesti贸n din谩mica de reglas de red.
SSSD para autenticaci贸n segura contra fuentes externas (LDAP, AD).
Integraci贸n con SELinux, PAM y m贸dulos de auditor铆a (auditd).
Herramientas para el control de usuarios, pol铆ticas de contrase帽as y supervisi贸n de servicios.
Gracias a estas capacidades, openSUSE Leap se posiciona como una plataforma s贸lida para implementar medidas de hardening en entornos de servidores, escritorios seguros o infraestructura cr铆tica.
Desarrollo.
1.0 Seguridad y confidencialidad.
1.1 Visi贸n general.
Una de las principales caracter铆sticas de Linux es su capacidad para manejar m煤ltiples usuarios al mismo tiempo (multiusuario) y permitir que estos realicen tareas simult谩neamente (multitarea) en el mismo equipo. Para los usuarios, no hay diferencia entre trabajar con datos almacenados localmente y datos almacenados en la red.
Debido a esta capacidad multiusuario, los datos de diferentes usuarios deben almacenarse por separado para garantizar la seguridad y la privacidad. Tambi茅n es importante mantener los datos disponibles a pesar de la p茅rdida o da帽o de un soporte de almacenamiento, como un disco duro.
En esta ocasi贸n, nos centramos principalmente en la confidencialidad y la privacidad. Un concepto de seguridad integral incluye un sistema actualizado peri贸dicamente y una copia de seguridad viable y probada. Sin una copia de seguridad, la restauraci贸n de datos despu茅s de haber sido manipulados o tras una falla de hardware es dif铆cil.
Es importante suponer que ninguna mitigaci贸n por s铆 sola puede proteger completamente los sistemas y datos, pero m煤ltiples capas de defensa hacen que un ataque sea mucho m谩s dif铆cil. Los componentes de una estrategia de defensa en profundidad pueden incluir los siguientes:
Hash de contrase帽as (por ejemplo, con PBKDF2, bcrypt o scrypt)
Cifrado de datos (por ejemplo, con AES)
Registro, supervisi贸n y detecci贸n de intrusiones
Cortafuegos
Esc谩ner antivirus
Procedimientos de emergencia definidos y documentados
Copias de seguridad
Seguridad f铆sica
Auditor铆as, an谩lisis de seguridad y pruebas de intrusi贸n
OpenSuse Leap incluye software que aborda los requisitos mencionados anteriormente. En las secciones siguientes se proporcionan puntos de partida para proteger su sistema.
El siguiente comando ejecuta el paquete seccheck, que es una herramienta integrada en SUSE para realizar auditor铆as de seguridad autom谩ticas. Analiza configuraciones del sistema, permisos, servicios activos, cuentas de usuario, entre otros, y genera un reporte con hallazgos de posibles vulnerabilidades o configuraciones inseguras. Es ideal para un chequeo r谩pido de la seguridad general.
Si no est谩 instalado, se instala con el siguiente comando
1.2 Contrase帽as.
En un sistema Linux, solo se almacenan los hashes de las contrase帽as. Los hashes son algoritmos unidireccionales que codifican los datos en una huella digital que es dif铆cil de revertir.
Los hashes se almacenan en el archivo , que no puede ser le铆do por usuarios normales. ya que al restaurar contrase帽as es posible con ordenadores potentes, las contrase帽as con hash no deben ser visibles para los usuarios habituales. /etc/shadow
Configurar pol铆ticas de contrase帽as seguras.
Modificar o agregar:
PASS_MAX_DAYS 90
PASS_MIN_DAYS 7
PASS_WARN_AGE 14
Descripci贸n detallada:
Define caducidad, tiempo m铆nimo entre cambios y advertencia previa.
PASS_MAX_DAYS define la cantidad m谩xima de d铆as que una contrase帽a puede usarse antes de requerir cambio.
PASS_MIN_DAYS impide cambios inmediatos tras establecer una nueva clave (previene eludir la pol铆tica de historial).
PASS_WARN_AGE indica con cu谩ntos d铆as de anticipaci贸n se alerta al usuario de que su contrase帽a est谩 por vencer.
Agregar.
Descripci贸n detallada: Esta l铆nea configura el m贸dulo pam_cracklib, que eval煤a la fortaleza de las contrase帽as ingresadas. Requiere al menos 12 caracteres, incluyendo may煤sculas, min煤sculas, n煤meros y s铆mbolos, y no permite repetir contrase帽as similares.
1.3 Copias de seguridad.
Las reglas sobre la seguridad f铆sica de los servidores tambi茅n se aplican a las copias de seguridad. Adem谩s, es aconsejable cifrar los datos de respaldo. Esto se puede hacer por archivo individual o para todo el archivo de respaldo del sistema, si corresponde.
En caso de que se pierda alg煤n medio de copia de seguridad —por ejemplo, durante el transporte— los datos estar谩n protegidos contra accesos no autorizados. Lo mismo aplica si el sistema de copias de seguridad se ve comprometido.
Hasta cierto punto, el cifrado tambi茅n ayuda a garantizar la integridad de las copias de seguridad. Sin embargo, es importante asegurarse de que las personas adecuadas puedan descifrar los respaldos en situaciones de emergencia.
Adem谩s, debe considerarse el escenario en el que una clave de cifrado se vea comprometida, en cuyo caso ser谩 necesario reemplazarla.
Instalar y ejecutar rsync.
Descripci贸n detallada:
zypper in rsync: instala rsync, una herramienta eficiente para copiar archivos.
rsync -aAXv: copia con atributos, ACLs, permisos extendidos, y muestra progreso detallado. Esta opci贸n es ideal para backups completos.
Programar con cron.
Agregar:
0 2 * * * /usr/bin/rsync -aAXv /home /mnt/backup/ >> /var/log/backup.log 2>&1
Descripci贸n detallada: Define una tarea cron que ejecuta un backup diario a las 2:00 AM. La salida est谩ndar y los errores se redirigen a un archivo de log para auditor铆a.
Usar Snapper.
Descripci贸n detallada: Snapper permite crear instant谩neas del sistema si se usa Btrfs. Las instant谩neas facilitan la reversi贸n ante errores en actualizaciones o configuraciones.
1.4 Integridad del sistema.
Si es posible acceder f铆sicamente a un ordenador, el firmware y el proceso de arranque pueden ser manipulados para obtener acceso no autorizado al sistema cuando una persona enciende la m谩quina. Aunque no todas las computadoras pueden ser bloqueadas completamente, el primer paso debe ser asegurar f铆sicamente el centro de servidores.
Tambi茅n es importante mencionar que la eliminaci贸n de equipos obsoletos debe realizarse de manera segura y controlada. Asegurar el cargador de arranque y restringir el uso de medios extra铆bles son medidas que contribuyen significativamente a la seguridad f铆sica.
Considere tomar las siguientes medidas adicionales:
Configure el sistema para que no se pueda iniciar desde dispositivos externos.
Proteja el proceso de arranque con una contrase帽a UEFI, habilite el arranque seguro (Secure Boot) y establezca una contrase帽a para GRUB2.
Tenga en cuenta que los sistemas Linux se inician mediante un cargador de arranque, el cual permite pasar opciones adicionales al kernel durante el arranque.
Instalar y configurar AIDE.
Descripci贸n detallada: AIDE (Advanced Intrusion Detection Environment) analiza archivos del sistema y genera una base de datos con sus hashes. Luego permite comparar el estado actual con el esperado para detectar modificaciones no autorizadas.
1.5 Acceso a archivos.
Debido al enfoque basado en archivos de Linux, los permisos de archivo son fundamentales para controlar el acceso a la mayor铆a de los recursos del sistema. Esto significa que, mediante el uso adecuado de permisos, se puede definir qui茅n tiene acceso a archivos, directorios y dispositivos de hardware comunes.
De forma predeterminada, la mayor铆a de los dispositivos de hardware no son accesibles para los usuarios normales; sin embargo, ciertos dispositivos —como los puertos serie— pueden ser accesibles dependiendo de la configuraci贸n del sistema.
Como regla general, siempre se debe trabajar con los privilegios m谩s restrictivos posibles para cada tarea. Por ejemplo, no es necesario ejecutar un cliente de correo electr贸nico con privilegios elevados. Si el cliente presenta una vulnerabilidad, esta podr铆a ser explotada por un atacante, utilizando exactamente los permisos que ten铆a el programa en el momento del ataque.
Establecer umask.
Descripci贸n detallada: Define los permisos por defecto de nuevos archivos o directorios: lectura y escritura para el due帽o, lectura para el grupo, sin acceso para otros.
Buscar archivos inseguros.
Descripci贸n detallada: Busca archivos con permisos 777, lo que implica acceso total para todos los usuarios, representando un gran riesgo de seguridad.
Aplicar ACLs.
1.6 Redes.
Proteger los servicios de red es una tarea crucial. El objetivo debe ser asegurar tantas capas del modelo OSI como sea posible.
Todas las comunicaciones deben estar autenticadas y cifradas utilizando algoritmos criptogr谩ficos actualizados, ya sea en la capa de transporte o en la capa de aplicaci贸n. Adem谩s, se recomienda utilizar una red privada virtual (VPN) como capa adicional de seguridad sobre redes f铆sicas.
Es fundamental emplear una VPN para proteger los canales de comunicaci贸n, especialmente cuando se trabaja sobre redes f铆sicas inseguras. Asimismo, se debe implementar un mecanismo de autenticaci贸n segura para los servicios de red, evitando credenciales d茅biles o sin cifrado.
Ver puertos abiertos.
Descripci贸n detallada: Lista puertos TCP y UDP en escucha junto con el PID del servicio. Permite detectar servicios no autorizados o innecesarios en ejecuci贸n.
Desactivar servicios innecesarios.
Descripci贸n detallada: Lista los servicios habilitados y permite desactivarlos para evitar que se inicien con el sistema, reduciendo la superficie de ataque.
Instalar y configurar firewall.
Descripci贸n detallada: Instala Firewalld, lo activa y agrega una regla permanente para permitir SSH. El firewall es vital para controlar el tr谩fico entrante/saliente y proteger servicios expuestos.
1.7 Vulnerabilidades de software.
Las vulnerabilidades de software son fallos que pueden ser explotados para obtener acceso no autorizado o hacer un uso indebido de los sistemas. Estas vulnerabilidades son especialmente cr铆ticas cuando afectan a servicios accesibles de forma remota, como los servidores HTTP.
Dado que los sistemas inform谩ticos son complejos, inevitablemente contienen ciertas vulnerabilidades. Cuando se identifican estos problemas, deben ser corregidos por los desarrolladores mediante actualizaciones del software. Posteriormente, dichas actualizaciones deben ser instaladas por los administradores del sistema de manera oportuna y segura en los sistemas afectados.
Actualizar sistema.
Descripci贸n detallada: Refresca la lista de paquetes y luego descarga e instala actualizaciones disponibles, incluyendo parches de seguridad.
1.8 Software malicioso (Malware).
El malware es un tipo de software dise帽ado para interrumpir el funcionamiento normal de una computadora o robar informaci贸n. Incluye virus, gusanos, ransomware y rootkits. A veces, el malware explota vulnerabilidades de software para atacar un equipo; sin embargo, con frecuencia es ejecutado accidentalmente por el usuario, especialmente al instalar software de terceros proveniente de fuentes no confiables.
SUSE Linux Enterprise Server proporciona una extensa lista de programas (paquetes) a trav茅s de sus repositorios oficiales de descarga, lo cual reduce significativamente la necesidad de obtener software de terceros. Todos los paquetes proporcionados por SUSE est谩n firmados digitalmente. El gestor de paquetes de SUSE Linux Enterprise Server verifica estas firmas despu茅s de la descarga para comprobar su integridad y autenticidad.
Instalar y ejecutar ClamAV.
Descripci贸n detallada:
clamav: antivirus de c贸digo abierto.
freshclam: actualiza la base de definiciones de virus.
clamscan -r: escanea recursivamente la ruta indicada.
1.9 Consejos importantes de seguridad.
Los siguientes consejos son un resumen r谩pido de las secciones anteriores, mant茅ngase informado sobre los 煤ltimos problemas de seguridad. Obtenga e instale los paquetes actualizados recomendados por los anuncios de seguridad lo antes posible. Evite el uso de privilegios elevados siempre que sea posible. Establezca permisos de archivo restrictivos y utilice la cuenta root s贸lo cuando sea necesario. Utilice 煤nicamente protocolos cifrados para la comunicaci贸n de red. Deshabilite cualquier servicio de red que no sea estrictamente necesario. Realice auditor铆as de seguridad peri贸dicas. Por ejemplo, escanee su red en busca de puertos abiertos.
Supervise la integridad de los archivos de su sistema con herramientas como AIDE (Advanced Intrusion Detection Environment). Tenga especial cuidado al instalar software de terceros. Revise y pruebe sus copias de seguridad con regularidad.
Bloquear tras intentos fallidos.
Agregar.
auth required pam_tally2.so deny=5 unlock_time=900 onerr=fail
Descripci贸n detallada: Utiliza el m贸dulo pam_tally2 para contar intentos fallidos. Bloquea la cuenta durante 15 minutos tras 5 intentos incorrectos, mitigando ataques de fuerza bruta.
Habilitar auditor铆a.
Descripci贸n detallada: Instala y activa el demonio de auditor铆a que registra eventos cr铆ticos del sistema, como accesos, modificaciones a archivos importantes y cambios de configuraci贸n.
2.0 Autenticaci贸n.
2.1 ¿Qu茅 es PAM?
Los administradores de sistemas y los programadores a menudo desean restringir el acceso a determinadas partes del sistema o limitar el uso de ciertas funciones dentro de una aplicaci贸n.
Sin PAM (Pluggable Authentication Modules), las aplicaciones deben ser modificadas cada vez que se introduce un nuevo mecanismo de autenticaci贸n, como LDAP, Samba o Kerberos. Este proceso puede ser largo y propenso a errores.
Una forma de evitar estos inconvenientes es separar las aplicaciones del mecanismo de autenticaci贸n y delegar dicha autenticaci贸n a m贸dulos gestionados de forma centralizada. Cada vez que se requiere un nuevo esquema de autenticaci贸n, basta con adaptar o desarrollar un m贸dulo PAM para el programa correspondiente.
El concepto de PAM se basa en:
M贸dulos PAM: un conjunto de bibliotecas compartidas dise帽adas para manejar mecanismos espec铆ficos de autenticaci贸n.
Pilas de m贸dulos: una colecci贸n de uno o m谩s m贸dulos PAM aplicados en un orden definido para cada servicio o aplicaci贸n.
2.2 Estructura de un archivo de configuraci贸n PAM.
Un archivo PAM est谩 formado por l铆neas que siguen esta estructura:
tipo control m贸dulo [argumentos]
tipo: puede ser auth, account, password o session.
control: define el comportamiento en caso de 茅xito o fallo (required, requisite, sufficient, optional).
m贸dulo: como pam_unix.so, pam_tally2.so, pam_faillock.so, etc.
argumentos: par谩metros que modifican el comportamiento del m贸dulo.
Ejemplo:
auth required pam_unix.so nullok try_first_pass
Significa que se usar谩 pam_unix para autenticaci贸n, es obligatorio (required), y permitir谩 contrase帽as nulas (nullok) y probar谩 primero la contrase帽a ya introducida (try_first_pass).
2.3 Configuraci贸n de PAM para SSHD.
Verifica que SSH use PAM.
Aseg煤rate de que est茅:
UsePAM yes
Descripci贸n: Permite que el servicio SSHD utilice la infraestructura PAM definida en /etc/pam.d/sshd para gestionar la autenticaci贸n de usuarios remotos.
Descripci贸n: Permite que el servicio SSHD utilice la infraestructura PAM definida en /etc/pam.d/sshd para gestionar la autenticaci贸n de usuarios remotos.
Editar el archivo PAM de SSHD.
Agregar l铆neas como:
auth required pam_unix.so
account required pam_tally2.so deny=5 unlock_time=900
Descripci贸n: Aplica autenticaci贸n est谩ndar de UNIX y habilita bloqueo tras 5 intentos fallidos durante 15 minutos usando pam_tally2
2.4 Configuraci贸n de M贸dulos PAM.
Agregar bloqueo de cuentas por intentos fallidos.
Agregar:
auth required pam_faillock.so preauth silent deny=3 unlock_time=300
auth sufficient pam_unix.so try_first_pass
auth required pam_faillock.so authfail deny=3 unlock_time=300
Descripci贸n:
pam_faillock realiza el seguimiento de intentos fallidos.
preauth act煤a antes de la autenticaci贸n.
authfail se activa tras una autenticaci贸n fallida.
deny=3 bloquea despu茅s de 3 intentos fallidos.
unlock_time=300 desbloquea despu茅s de 5 minutos.
2.5 Configurar PAM usando pam-config.
Descripci贸n detallada:
pam-config es una herramienta espec铆fica de SUSE para gestionar la configuraci贸n PAM.
--add --cracklib: a帽ade pol铆ticas de contrase帽as seguras.
--add --faillock: a帽ade gesti贸n de bloqueos por intentos fallidos.
--update: aplica cambios al sistema.
2.6 Configuraci贸n manual de PAM.
Editar configuraci贸n de login.
Agregar:
auth required pam_env.so
auth required pam_unix.so
auth required pam_tally2.so deny=3 unlock_time=600
Descripci贸n detallada:
pam_env.so: carga variables de entorno.
pam_unix.so: autentica mediante /etc/shadow.
pam_tally2.so: limita accesos fallidos.
2.7 Configuraci贸n de llaves U2F (Universal 2nd Factor) para login local.
Instalar m贸dulos necesarios.
Descripci贸n: Instala soporte para llaves de autenticaci贸n de segundo factor como YubiKey o Titan.
Registrar la llave con el usuario actual:
Descripci贸n: Crea el directorio de configuraci贸n y almacena la informaci贸n de la llave U2F en el archivo u2f_keys, que PAM usar谩 para validar autenticaci贸n.
Configurar PAM para requerir U2F.
Agregar:
auth required pam_u2f.so authfile=/home/usuario/.config/Yubico/u2f_keys cue
Descripci贸n detallada: Habilita autenticaci贸n basada en U2F para el login local. El par谩metro que hace que el sistema indique al usuario que toque su llave de seguridad para validar la autenticaci贸n.
3. Usando NIS.
En openSUSE Leap, NIS (Network Information Service) es un sistema que permite centralizar la administraci贸n de usuarios, contrase帽as y otros servicios de red en entornos Unix/Linux. Su prop贸sito principal es facilitar la gesti贸n de usuarios y configuraciones comunes en redes con m煤ltiples sistemas.
3.1 Instalar.
Descripci贸n:
La imagen muestra la instalaci贸n exitosa de los paquetes ypbind y ypserv en openSUSE Leap, Estos componentes permiten configurar un servidor y cliente NIS, 煤til para entornos donde se desea compartir informaci贸n de usuarios y contrase帽as entre m煤ltiples sistemas Linux.
3.2 Configurar dominio y mapas NIS.
La configuraci贸n de un dominio NIS (Network Information Service) permite centralizar la gesti贸n de usuarios, grupos y otros recursos del sistema en entornos con m煤ltiples equipos Linux. A trav茅s de NIS, un servidor puede distribuir informaci贸n administrativa a varios clientes de manera eficiente. A continuaci贸n, se detallan los comandos necesarios para establecer un dominio NIS b谩sico en openSUSE, configurando tanto el servidor (ypserv) como el cliente (ypbind) y asegurando el funcionamiento de los mapas fundamentales como passwd, group y shadow.
Establecer nombre de dominio NIS.
Para hacerlo persistente.
Configurar /etc/yp.securenets para permitir tu red.
Ejemplo para permitir localhost y red local 192.168.1.0/24.
Inicializar mapas del dominio.
Iniciar y habilitar servicios.
En el cliente NIS.
Establecer dominio NIS.
Configurar archivo /etc/yp.conf.
Agrega.
domain mirednis server 192.168.1.10, Reemplaza 192.168.1.10 con la IP real del servidor NIS.
Editar /etc/nsswitch.conf
Aseg煤rate de que estas l铆neas contengan nis:
passwd: files nis
group: files nis
shadow: files nis
Iniciar y habilitar ypbind
Verificaci贸n en el cliente
4.Configuraci贸n de clientes de autenticaci贸n utilizando YaST.
YaST "Yet another Setup Tool",permite configurar c贸mo tu equipo aut茅ntica usuarios, ya sea de forma local o a trav茅s de servicios como: NIS (Network Information Service), LDAP (Lightweight Directory Access Protocol), Kerberos y otros. Si ya tienes un servidor NIS funcionando, puedes usar YaST para unir un cliente a ese dominio f谩cilmente.
OpenSUSE proporciona una herramienta gr谩fica muy 煤til llamada YaST, que permite configurar f谩cilmente servicios de autenticaci贸n como NIS sin necesidad de editar archivos manualmente. Utilizando el m贸dulo de autenticaci贸n de YaST, es posible unir el sistema a un dominio NIS, definir el servidor NIS y ajustar autom谩ticamente los archivos de configuraci贸n necesarios (/etc/yp.conf, /etc/nsswitch.conf, entre otros). A continuaci贸n, se describen los pasos para configurar un cliente NIS b谩sico mediante la interfaz de YaST.
4.1 Ejecutar YaST.
Antes de iniciar YaST, aseg煤rate de tener instalados los paquetes.
Instala el m贸dulo de autenticaci贸n de YaST.
Iniciar YaST en modo gr谩fico o texto
Ir a: Security and Users > User and Group Management > Authentication Settings
4.2 Instalar SSSD System Security Services Daemon.
SSSD es un componente clave en sistemas Linux para la gesti贸n centralizada de identidades y autenticaci贸n de usuarios. Es un demonio que proporciona servicios de autenticaci贸n, autorizaci贸n y almacenamiento en cach茅 para usuarios provenientes de fuentes externas, como:
LDAP
Kerberos
Active Directory
IPA (Identity Management de Red Hat)
Local (/etc/passwd)
SSO (Single Sign-On)
Se utiliza para: Cuando necesitas autenticaci贸n centralizada en entornos corporativos, conectar Linux a un Active Directory o FreeIPA, mejorar rendimiento y disponibilidad con cach茅 de credenciales, soportar funciones avanzadas como sudo centralizado, pol铆ticas de acceso, etc.
Para habilitar la autenticaci贸n de usuarios desde servicios externos como LDAP, Kerberos o Active Directory de manera segura y eficiente, openSUSE permite utilizar SSSD (System Security Services Daemon) como intermediario. Este servicio se integra con los mecanismos est谩ndar del sistema (PAM y NSS) y permite almacenamiento en cach茅 de credenciales, autenticaci贸n centralizada y pol铆ticas de acceso. A continuaci贸n, se muestran los comandos necesarios para instalar los paquetes requeridos para configurar SSSD en openSUSE.
Instalar SSSD.
5. LDAP con 389 Directory Server.
Esta secci贸n se refiere a la implementaci贸n segura y endurecida de un servicio de directorio LDAP utilizando 389 Directory Server, una soluci贸n de c贸digo abierto, estable y escalable para gestionar identidades, autenticaci贸n y pol铆ticas de acceso.
En el hardening, esto implica:
Configurar autenticaci贸n segura mediante TLS/SSL.
Aplicar control de acceso basado en roles (ACIs) para restringir operaciones por usuario/grupo.
Deshabilitar operaciones an贸nimas o sin cifrar.
Habilitar registro detallado (logging) para auditor铆a y trazabilidad.
Implementar pol铆ticas de contrase帽as, bloqueo por intentos fallidos y expiraci贸n.
Minimizar la exposici贸n del puerto LDAP (389) o LDAPS (636) con firewalls.
5.1 Crear contenedor Docker.
5.2 Instalaci贸n local.
5.3 Configurar firewall.
Comentarios
Publicar un comentario