Para los impacientes, incluimos en este apartado una guía rápida de lo que vamos a estudiar en el resto del curso.
El proceso de instalación segura de un sistema Unix cualquiera se podría resumir en los siguientes pasos:
Estudio del emplazamiento físico de la máquina, para minimizar riesgos.
Determinar para qué se va a emplear la máquina y los servicios que va a proporcionar. Para los servicios que transmitan información no pública o requieran autentificación intentaremos emplear sistemas que cifren la la información importante cuando viaja por la red.
Elegir los programas servidores más adecuados a nuestros conocimientos y objetivos (p. ej. en el caso del servidor smtp)
En función de los programas elegidos, decidiremos qué tipo de sistema operativo y versión vamos a instalar.
Revisar el Hardware y la documentación del S. O. para saber si necesitamos controladores de dispositivo adicionales o cualquier otra actualización.
Generar un listado de datos de configuración del equipo:
Nombre de la máquina,
Datos de la configuración de la red (dirección y máscara ip, rutas por defecto, direcciones de los servidores de nombres y dominio a emplear),
Esquema de particiones y tipos de sistemas de archivos a emplear,
Sistema de autentificación y contraseña(s),
Usuarios y máquinas que van a tener acceso a los distintos servicios,
Una vez tenemos los datos realizamos una instalación mínima del sistema (preferiblemente sin conectarnos a la red),
Detenemos todos los servicios innecesarios y desactivamos su arranque al inicio del sistema; si sabemos que no vamos a necesitarlos también es buena idea desinstarlos completamente,
Si se va a emplear la red para instalar o actualizar más servicios colocaremos la máquina detrás de un cortafuegos que bloquee las conexiones entrantes o configuraremos el sistema de firewalling de nuestro S. O. para que haga lo mismo.
Una vez instalado el sistema básico, añadiremos los paquetes necesarios para proporcionar los servicios. Es importante que seamos conscientes de si alguno de los programas que proporcionan servicios necesita conectarse como clientes a otros equipos, por ejemplo para consultar nombres de máquinas o enviar mensajes de correo.
Después comprobaremos que tenemos instaladas todas las actualizaciones de seguridad de los paquetes que tenemos en el sistema.
Luego configuraremos los distintos servidores, intentando cerrar todos los agujeros de seguridad que pudieran tener, empezando por no usar ninguna configuración por defecto.
Empleando el sistema cortafuegos de nuestro servidor, limitaremos la conexiones de entrada al mínimo número de puertos posibles y sólo permitiremos conexiones de salida relacionadas con las entrantes o las que sepamos con certeza que son necesarias (p. ej. las de consultas del DNS o el acceso al mail relay).
Una vez hecho todo esto podremos pasar nuestra máquina a producción.
Hay que indicar que una vez instalado el equipo será necesario mantenerlo, en lo relativo a la seguridad y en estrecha relación con la instalación del mismo deberemos:
Monitorizar las listas de seguridad en las que se publican vulnerabilidades e instalar las actualizaciones del fabricante que nos afecten.
Auditar periódicamente la seguridad del sistema para comprobar que no tiene ninguna vulnerabilidad conocida.
Para realizar estas tareas de manera eficaz necesitaremos conocer las herramientas de gestión de paquetes de los distintos sistemas y las aplicaciones que vayamos a administrar.
En el curso describiremos brevemente como funcionan las distintas herramientas de gestión de paquetes, los sistemas cortafuegos de Linux y Solaris y comentaremos algunas cosas sobre la configuración de los servicios de red, aunque no hablaremos con detalle de ninguno de ellos.