Los sistemas con un núcleo Linux contienen varios sistemas de seguridad. Estos sistemas están escalonados desde la entrada de red hasta la capa de aplicación. Cuando un administrador necesita filtrar o securizar un sistemas GNU/Linux necesita contemplar todas estas capaz, no únicamente uno. Habitualmente un sysadmin únicamente contempla el firewall (iptables/netfilter) o la capa de control de aplicación, pero siempre es interesante controlar el resto de capas y saber que están ahí.
No todas las capas aquí mostradas pueden ser siempre usadas, sino que son las capas operativas que pueden estar presentes y por las que los datos pueden llegar a pasar.
Una explicación de lo que hace cada una, podría ser:- Netfilter: framework integrado en el kernel de Linux que permite manipular los paquetes a nivel de red.Esta capa es la que se controla habitualmente con iptables (antes ipchain).Más info en netfilter.
- SELinux context: arquitectura de seguridad integrada en el núcleo y que se encarga del control de los contextos y directorios sobre los que se ejecutan las aplicaciones.Aplicaciones como grsecurity o AppArmor son un ejemplo de SELinux.Más info en SELinux context.
- TCP Wrappers: filtrado a servicios a través de diferentes reglas.El software TCP Wrappers extiende las habilidades de inetd para ofrecer soporte para cada servicio bajo su control. Con este método es posible proveer soporte de logs, devolución de mensajes a conexiones, permitir a un daemon aceptar solamente conexiones internas, etc. Aunque algunas de estas opciones pueden conseguirse gracias a un cortafuegos, no sólo añadirá una capa extra de seguridad, sino que irá más allá del nivel de control ue un cortafuegos puede ofrecerle.Más info en TCP Warppers.
- Control de aplicación: define aquellas medidas de seguridad integradas en las propias aplicaciones a nivel de usuario o a nivel de red con otras herramientas que controlan, a nivel de aplicación, el tráfico de red.Un ejemplo de este software puede ser l7-filter.
- SELinux boolean: arquitectura de seguridad del propio núcleo y que controla gran parte de las funciones permitidas en el sistema. Es la capa superior, aunque está implementada en el núcleo. Se puede controlar con setsebool.
No hay comentarios :
Publicar un comentario