Andamos otra vez a vueltas con la seguridad en Linux, y todo a raíz de un artículo publicado ayer en The Washington Post en que se cuestionaba la fiabilidad del sistema del pingüino en ese aspecto. Aunque se ve que el periodista no controla demasiado del tema —llega a echar a Linux la culpa de hacking de Ashley Madison porque corría en sus servidores—, el artículo es interesante porque participan varios expertos de seguridad, además del propio Linus Torvalds, que se defiende de las acusaciones de tener un enfoque demasiado pasivo.
|
etiquetas: seguridad , endurecer , linux , calidad del código
Sistema seguro - Administrador seguro = Sistema seguro.
Sistema inseguro - Administrador seguro = Sistema inseguro.
Sistema seguro - Administrador inseguro = Sistema inseguro.
Sistema inseguro - Administrador inseguro = Sistema inseguro.
Si tienes un mal administrador o un mal SO estás jodido siempre.
Si tienes los dos malos es un fail/fail.
En realidad es mentira, mientras sigan existiendo tantas distribuciones de izquierdas existirá una gran fragmentación que les impedirá dominar el mercado.
De todas formas, vaya que te has marcado.
Sistema seguro - Administrador seguro = Sistema seguro.
Sistema inseguro - Administrador seguro = Sistema inseguro.
Sistema seguro - Administrador inseguro = Sistema inseguro.
Sistema inseguro - Administrador inseguro = Sistema inseguro.
Si tienes un mal administrador o un mal SO estás jodido siempre.
Si tienes los dos malos es un fail/fail.
# setenforce 1
No hay que endurecer la seguridad para estar a la altura de Windows, la seguridad ya está igual o mejor que en Windows, hay que endurecerla porque nunca es suficiente.
Cualquier buen administrador de sistema está informado de las vulnerabilidades recientes y dispuesto a desactivar o parchear por su cuenta servicios inseguros antes incluso de que la propia distribución de Linux saque el parche de seguridad. Aparte en los servidores dedicados a Internet con Linux hay 2 herramientas extremadamente potentes para limitar servicios inseguros, SELinux y Netfilter, que te permiten atar en corto servicios vulnerables. Además de la seguridad intrínseca de todos los sistema Linux/Unix y sus sistema de archivos, por ejemplo es muy sencillo bloquear un fichero para que ni siquiera la cuenta root pueda borrarlo.
Es decir, un administrador de sistemas no tiene las manos atadas en un sistema inseguro, ni mucho menos.
Supongamos que tienes un equipamiento que solo funciona a través de un sistema operativo antiguo, como Windows 98. Por poner un ejemplo imaginemos que se trata de una estación meteorológica. Es antigua pero es buena y si quieres que funcione en un sistema moderno el fabricante te dice que te compres un modelo nuevo. Un administrador seguro se limitaría a instalar un Windows 98 en una máquina virtual aislada y configurarla para que los archivos con los datos de la estación se almacenasen en una carpeta compartida. Nadie puede acceder a la máquina virtual y está aislada de la red, los archivos con la información va a un directorio donde solo los administradores y la máquina virtual pueden escribir. Ahora me cuentas donde está la inseguridad.
Tanto sabes, que ni tan siquiera sabes que hace años que existen versiones de Windows Server sin entorno gráfico
Que por cierto, lo que habría que optimizar son los grandes escritorios linuxeros, porque lo que es el escritorio de las últimas versiones de Windows, les da un repasillo.
Tienes pinta de ser de esos linuxeros "expertos" que creen que saben mucho de ordenadores por saber instalar distros, pero que eso de AD, exchange, SQL Server, sharepoint les suena a cosas exóticas y que creen que mezclar "Windows" y "servidor" en la misma frase es una blasfemia.
PD: No me salgáis con el cuento de la encriptación cuántica que eso es cuñadisimo nivel master.
De acuerdo en que el administrador y/o el SO influyen en el nivel de seguridad.
Dime donde esta la lista de parches contribuidos para Windows.
No importa lo buen administrador que seas, hay cosas que no puedes parchear porque:
Son fallos de concepción. Para arreglarlos tienes que escribir medio SO nuevo y no depende de ti.
No tienes acceso al código fuente del SO.
Son fallos de protocolo. No hay otra solución que escribir un protocolo nuevo y estandarizarlo.
Son fallos en software de un tercero. Ejemplo Oracle, Citrix, Wmware, etc...
Desactivar un servicio para arreglar algo es algo que ningún buen administrador debería tener que hacer.
Si lo tienes instalado y activado es por que lo necesitas, y si no es así no deberías haberlo tenido instalado jamás.
Todos los sistemas operativos de los que no hay código fuente parten siempre en clara desventaja.
Cualquiera puede parchear un BSD, Linux, etc... pero cualquiera no puede parchear un Solaris, Windows, etc...
Los fabricantes sacarán parches si les interesa. Pero quizás les interese mucho más ir dejando bugs sin resolver para forzar al administrador a actualizar el SO, con el consiguiente desembolso.
Hay una serie de puntos en seguridad que son comunes a todos los SO. Por ejemplo si dependes de aplicaciones de terceros.
Pero hay otros que son exclusivos de SO propietarios y no tienen más solución que depender de que el fabricante lo solucione o no, o escoger otro SO.
Otro problema es la administración de equipos, aplicación de parches/hotfix, etc... No es lo mismo gestionar 3000 equipos que 30 con Windows o con otro SO estilo Unix. Ni color. Y eso es algo que también lleva a muchos problemas de seguridad.
#34 Totalmente de acuerdo. Solo es una manera de presentarlo.
El único ordenador seguro es el que está guardado en la caja fuerte de Fort Knox rodeado de una guarnición del ejército... y apagado.
Es como ir de putas, que te contagien una venerea y querer echarle la culpa a la puta, al fabricante de los condones que no te has puesto o a tu sistema inmunológico, que no ha estado a la altura.
La seguridad de un sistema es cuestión de varios factores, y los usuarios es uno de ellos. Y la mayoría de malware que conozco se basa más en la pasividad de un usuario, en exclusiva o conjuntamente a otros factores (fallos en el sistema operativo, en el hardaware...)
Cuando el común de los usuarios tengan claro eso, el tema de la seguridad informática estará bastante resuelto. Los "malos" lo tendrán bastante más jodido.
Sabes que hay virus y gusanos para prácticamente cada tipo de fichero existente, no es necesario que sea un ejecutable. La carpeta compartida es un vector de infección en los dos sentidos.
¿O es que los archivos no salen nunca de la carpeta a la que solo tienen acceso los administradores?.
Has puesto un ejemplo totalmente exagerado y ridículo para los tiempos IOT que corren, pero ni aun así es seguro.
8 años usando Linux sin antivirus y oye, ni un problema. Pero me lo van a solucionar.
Sabes que hay bugs que te permiten saltar desde la máquina virtualizada al host.
Para esto primero tendrías que comprometer el host. Ya me dirás cómo vas a comprometer un equipo al que no tienes acceso ni de forma física ni a través de la red local.
Sabes que hay virus y gusanos para prácticamente cada tipo de fichero existente, no es necesario que sea un ejecutable. La carpeta compartida es un vector de infección en los dos sentidos.
No lo es dado que solo la máquina virtual tiene acceso de escritura y el resto del mundo tendría acceso de lectura con lo que sería imposible dejarle un archivo infectado (además de que, aunque lo dejases, la máquina virtual no tendría ninguna razón para abrirlo).
Has puesto un ejemplo totalmente exagerado y ridículo para los tiempos IOT que corren, pero ni aun así es seguro.
De exagerado nada. Hace tiempo me tocó configurar un servidor con un Windows 2000 para instalar un servidor de licencias de una aplicación que se negaba a funcionar en nada que fuera más moderno que un Windows 2000. A esa máquina solo tenían acceso los administradores, solo se podía comunicar por la red a través del puerto que utilizaba dicha aplicación y, por supuesto, esa aplicación era lo único que tenía instalada.
Pero normalmente no hace falta un 100% para considerar algo seguro.
Por ejemplo tienes bugs que solo se pueden explotar localmente o que dependen de un cúmulo de versiones de librerías, y configuración concreta para que el bug funcione.
Un software puede no ser por ejemplo 100% seguro en conjunto, pero quizás sí puede ser 100% seguro a explotación remota.
Por ejemplo yo en casa no tengo jamás ningún servicio corriendo que no use.
No tengo ningún demonio escuchando en ninguna interfaz que no deba o directamente solo accesible a través de localhost con un tunel ssh.
Aparte los tcp wrappers todo en deny y luego abriendo servicio/puerto a host concreto.
No tengo ningún bridge entre la red local y le wifi. Va separado.
No permito acceso por ssh como root.
Cada demonio corriendo con su propio limitado usuario.
Y encima de todo esto el firewall.
Creo que en lineas generales se puede decir que es seguro. No 100% pero seguro.
#45 No me has entendido, se compromete desde el guest. No desde el host.
¿Si es exagerado por que cual es la cantidad de equipos servidores o no que no tienen ningún tipo de acceso a red y además están virtualizados?
Normalmente la utilidad viene asociada en gran medida a la conectividad.
En el mejor de los casos, será 100% seguro a los riesgos conocidos. Pero problema de ponerle un cerrojo a una puerta, es que automáticamente vas a tener a alguien queriendo abrirla sin la llave.
Y con el conocimiento que pareces tener de seguridad, no creo que te esté diciendo nada nuevo.
Podemos acordar que un 99% de seguridad es suficiente, ¿o es el 99.9%? ¿o es el 99.999999%? ¿Qué porcentaje se considera seguro? ¿En qué contexto? ¿Qué precio tiene ese nivel de seguridad?
De un sistema informático lo único que podrás decir con toda seguridad es que no sabes hacerlo más seguro. Y hasta eso puede cambiar el día siguiente.
weblogs.asp.net/scottgu/announcing-windows-server-2016-containers-prev
blog.docker.com/2015/08/tp-docker-engine-windows-server-2016/
Y lo mejor de todo es que la implementación que han metido es un fork de OpenSSH que lleva existiendo años en FreeBSD y Linux. Luego que Microsoft es la primera en odiar Linux. No si visto así...
Pero como tú bien dices, la gran mayoria de problemas de seguridad son debidos a la pasividad del usuario/"administrador de sistemas" de turno en blindar el sistema o en no ejecutar/pinchar ciertas cosas que son "caca" como si fueran niños pequeños.
Si hubiera puesto el iconito le habríais dado palmas todos, verdad?
En esta época ya no importa si sale KDE XP o GNOME Milenium. Cuando Linux tuvo la oportunidad de ganar un poco de mercado en el escritorio, perdió tiempo y esfuerzos duplicando el trabajo ya hecho. Si KDE y GNOME hubiesen trabajado hombro con hombro para dotar a Linux de un entorno de escritorio, seguramente tendríamos una interfaz gráfica de usuario decente. Pero en lugar de eso tenemos dos mediocres intentos que no pueden usarse a menos que se tenga 1Gb de RAM y todo el tiempo del mundo para configurar el protector de pantalla.
Mientras ambos equipos peleaban infantilmente, Microsoft consolidó su posición como líder en el mercado del cómputo de oficina dandole a los usuarios lo que pedían: una interfaz gráfica de usuario intuitiva que les permitiera ser productivos sin tener que memorizar el manual (Tan grande como una bíblia!) de vi o de TeX.
Y no sólo eso, M$ también llevó la facilidad de uso y eficiencia que caracteriza a sus productos a los servidores con el novedoso sistema operativo orientado a internet Windows 2000. Esto tiene como resultado que a medida que las empresas aumentan su productividad y ganancias; UNIX y Linux huyen en desbandada hacia otros mercados.
Cómo es posible que las corporaciones no usen Windows 2000 en lugar de otras soluciones shareware? Cualquier ejecutivo sabe que a la larga lo barato sale caro. Haciendo cuidadosos análisis numerosos estudios han comprobado que el costo total de propiedad es mayor en los sistemas Linux y UNIX debido principalmente a la falta de sistemas de capacitación y certificación estandar para el personal que opera estas plataformas.
Según nos enteramos recientemente, la Universidad Nacional Autónoma de México seguirá la innovadora iniciativa .NET de Microsoft, y después seguirán otras en otros países. Incluso existe la posibilidad que el campo del software de código abierto sea invadido usando projectos semi-libres como caballos de Troya, como es el caso de Mono y DotGNU.
Todo esto manda el mensaje que mientras el software libre tiene su lugar, ciertamente no es en los servidores de producción de corporaciones importantes, y menos en los centros de investigación y aprendizaje, donde se prueban hoy las tecnologías del futuro.
Si Linux y el software libre en general no luchan para democratizar su uso para el grueso de la población, dentro de poco veremos hecha realidad la visión del mundo de la computación que comparten Bill Gate$, Richardo Stalinmal, Steve Yobs, entre otros: A dónde quieres que te de permiso de ir hoy?
github.com/mist64/xhyve
Menudo chiste los NT y compañía.
Sin escritorio, no me seas patán. Entorno gráfico llevan. WDM y cmd.exe . ESO SÍ es un entorno gráfico.
Y es tan basura que cuando hay un error muchas veces no se puede acceder por RDP para cerrar un diálogo gráfico.
Cómparalo con X11 y una XTERM .
Si los de NT cogen todo lo de BSD para TCP/IP, ¿por qué coño no meten un kernel BSD con Win32 encima y .Net? Arrasarían.
Y como interfaz de comandos, ksh y perl+API Windows, no ese truño de PowerShell.
Y respecto a que ningún administrador debería tener servicios no imprescindibles para el servidor, en realidad los propios administradores de sistemas no suelen ser quienes eligen que software instalar, sino que dependen de los desarrolladores o los propios usuarios. Y no es raro que haya servicios no imprescindibles en todos los servidores, que facilitan las cosas pero pueden ser desactivados temporalmente. Aparte, en caso de un fallo de seguridad muy gordo puede ser preferible cortar un servicio imprescindible a comprometer los datos de todos los clientes, por ejemplo.
Respecto a las listas de Microsoft, ni pajolera idea, me suena que tienen listados de parches de seguridad los segundos Martes de cada mes y ciertos clientes reciben esa información antes. Pero desconozco a que clientes y en que condiciones, puede que sea a todos los clientes de Windows Server o solo a otras grandes empresas e instituciones públicas. Pero vamos, que hay millones de servidores funcionando con Windows y no se caen a trozos, su sistema tendrán.
Lo uno es resultado de lo otro.
Si un administrador instala algo solo por que se lo dice un usuario o programador sin que estos realmente lo utilicen, no es un administrador si no otra cosa.
Lo de las listas era un comentario irónico, no existe tal cosa en software propietario. Habitualmente no hay forma de que la comunidad arregle nada.
Lo de que no se caen a trozos habría que comprobarlo con los datos en la mano.
1) Se usa RDP desde hace años para gestionar servidores windows de manera gráfica.
2) Consola de administración remota: tu windows cliente frontend con todos los servidores que quieras añadidos para gestionar servicios, instalar o desinstalar roles o features, etc...
3) ¿Scripting? Powershell remoto, desde hace años.
El SSH mola, pero sinceramente a estas alturas ya huele un poco, aunque todo lo que sea por standarizar los protocolos bienvenido sea.
¿Microsoft odiar linux? todo lo contrario, y dicho publicamente en repetidas ocasiones:
www.google.es/search?q=microsoft+loves+linux&ie=utf-8&oe=utf-8
Además, Microsoft aporta código al kernel de linux desde hace años...
www.google.es/search?q=microsoft+loves+linux&ie=utf-8&oe=utf-8
Sobre si Microsoft odia a Linux: www.google.es/search?q=microsoft+hates+linux&oq=microsoft+hates+li (Yo también sé usar Google para buscar lo contrario).
1) RDP para > X servidores es un coñazo. Y como el cliente no tenga RFX eso va mas lento que el caballo del malo
2) MMC y demás también es tedioso y poco manejable
3) PSH es un coñazo. " pero sinceramente a estas alturas ya huele un poco" ¿Mande? es lo mejor que se ha inventado jamás. Puedes automatizar las instalaciones remotas, manejarlo desde cualquier cliente-cafetera, está en todas partes , se puede usar bajo VPN y encima sobre ancho de banda tira hasta bajo 56 y 128k.
Tú flipas. El escritorio de Windows 8 es BASURA. El de Windows 10 todavía no lo he analizado con detenimiento, pero por lo poco que he podido ver parece ser la misma mierda. El último Windows con un escritorio usable fue el 7, y de eso ya hace 6 años.
Por no hablar de que la RAM esta tirada de precio...
En cuanto a lo de gestionar servidores remotos mediante el panel de administración me refiero a esto:
blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components
En cuanto a tu búsqueda de google veo un enlace de 2006, 4 enlaces del mismo tio posteando y el resto ya son desvaríos, no me sirve.
Tu búsqueda de Google tampoco me ha servido, bueno, sí, que parece que te pagan por dejar bien a Microsoft y también en que Windows no sirve en máquinas "De más de 128 GB".
Sin embargo cuando hablamos de sistemas operativos de servidor, hablamos normalmente de empresas que usan una infraestructura potente para dar servicio a cientos de usuarios, y si, es muy normal tener servidores de 128 GB de RAM, y los he visto de mucho más.
En cuanto a lo del windows server "core" sin interfaz gráfica, si, es una cosa bastante rara con ventanas mínimas, no te lo voy a negar.
De todos modos se ideó pensado en que lo gestiones de manera remota desde server manager, no para que accedas localmente.
Un entorno de Windows Server puramente consola, con gestión de servicios y "daemons" usando powershell nativa agradaria a muchos administradores de sistemas. Gestionar un Active Directory con lo minimo ayudaria a no montar máquinas con muchos requerimientos. De momento aplaudo la iniciativa del actual CEO de implementar SSH nativo y que ayude al desarrollo de OpenSSH, quizás para la próxima versión de Windows Server, veremos cosas interesantes.
En Azure tambien puedes crear un dominio sin necesidad de un controlador de dominio (te ahorras una máquina virtual), con su AD y todo.
Y si no quieres montarlo con un entorno windows, desde la semana pasada microsoft ofrece red hat en Azure, incluso como opción por defecto si escoges linux.
Si lo de la nube no va con la filosofía de la empresa, con windows server 2012 te incluyen 2 licencias más virtuales, así que cada windows 2012 en realidad son 3 si instalas hyper-V en el windows host y otros 2 windows 2012 como máquinas virtuales. Sólo con eso ya tienes un host de hyper-v sólamente (que además puede ser sin entorno gráfico si quieres) + 2 VM que pueden ser un controlador de dominio/DNS + un exchange/servidor de ficheros/impresoras por ejemplo.
Fuera de lo que es el mundo microsoft, yo tiendo a usar ubuntu server o centos, dependiendo del tipo de empresa que sea. Si es mas de andar por casa y se van a solventar ellos mismos la papeleta, ubuntu server que siempre es más facil de encontrar documentación y ayuda de la comunidad sin tener que pagar.
En cambio si va a ser algo más serio, uso centos y se vende el soporte remoto para lo que necesiten hacer.
CentOS también he usado y a la larga son similares las distribuciones Linux entre sí, ya eso a gusto del consumidor.
Azure es interesante, pero a las empresas les echa un poco para atrás que sus datos estén en terceros.
Por ejemplo la consola del antivirus se puede tener en la nube, el firewall se puede tener en la nube, los servidores SAP se puede tener en la nube, la web externa o la intranet... cosas que no almacenan información financiera, planes de negocio a futuro, informes de rendimiento, planos o diseños, fórmulas etc...
Esa información más "sensible" si no gusta se puede almacenar en servidores físicos de los de toda la vida y usar la nube con servicios federados para autenticar y conectar toda la infraestructura.
Misma filosofía y planteamiento con linux.
He hecho con Linux cosas más avanzadas de las que se pueden hacer con Windows, como son por ejemplo:
* Instalarlo en un ARM de control industrial, y desarrollar dentro de ese sistema diferentes drivers para controlar maquinaria en tiempo real. Dichos sistemas tienen sólo 64 MB de RAM, una SSD que no soporta muchas reescrituras y no tienen tarjeta gráfica ni nada similar.
* Desplegarlo en cientos de máquinas Intel con el fin de hacer de caché web para diferentes lugares del mundo, administrado desde varios servidores centrales, y con un watchdog hardware para obligarlas a reiniciarse automáticamente incluso cuando se cuelgan a lo bestia.
Pero sí, no soy más que un aficionado que no sabe nada de AD (excepto cuando lo estuve utilizando para administrar los 100 ordenadores de un colegio). ¿Qué voy a saber hacer, si me llevó varias horas descubrir por qué Windows 8 no desmonta las particiones cuando le mandas apagar? (porque cuando le mandas apagar, pasa de tí y en lugar de apagar, hiberna).
Así que chato, cuando consigas instalar Windows en un ARM sin gráfica, cuando consigas que Windows funcione en los teléfonos móviles de medio mundo, cuando consigas que Windows escriba un máximo de una vez por hora en el almacenamiento físico, cuando consigas que Windows funcione en tu enrutador (como está haciendo Linux ahora mismo), cuando puedas hacer que Windows funcione en los 10 mayores supercomputadores del mundo en.wikipedia.org/wiki/TOP500#Top_10_ranking (actualmente sólo puede funcionar en 5, mientras que Linux no sólo puede sino que ESTÁ funcionando en los 10), cuando consigas todo eso, me vienes a trolear.
Bastante bien parece.