2. 1a Pregunta
Would you like to set more restrictive
permissions on the administration utilities?
●
Útil en máquinas con múltiples cuentas de
usuario. Hay utilidades que, en general, sólo
son ejecutadas por el administrador de la
máquina aunque por defecto los usuarios
habituales tienen acceso a ellas, al menos a
parte de sus funcionalidades
3. ●
●
¿Que necesidad tiene el usuario de ejecutar
herramientas de administración como top o
ifconfig?
Para evitar los posible problemas de
seguridad a los que podría dar lugar esto,
Bastille puede cambiar los permisos de las
mencionadas aplicaciones con el fin de
asegurar que sólo el administrador pueda
ejecutarlas.
4. ●
●
Si usted es el único usuario de la máquina no
tiene sentido que habilite esta opción.
Si cuenta con otros usuarios que acceden a
ella (por ejemplo para subir ficheros a sus
carpetas web) sí que sería interesante añadir
esta opción.
5. 2da Pregunta
Would you like to disable SUID status for
mount/umount?
●
En general, los programas que tienen el
atributo SUID son muy peligrosos ya que
aunque pueden ser invocados por usuarios
normales, se ejecutan con privilegios de
superusuario.
6. ●
Esto no entrañaría ningún riesgo si estos
programas se limitasen a hacer aquello para
lo que fueron diseñados, el problema está en
que es relativamente habitual que se
descubran bugs en estas aplicaciones que
permitan “engañarlas” para que hagan cosas
con privilegios de superusuario.
7. ●
Si dice que śi en esta pregunta Bastille se
asegurará de que el comando mount/umount
sólo pueda ser ejecutado por aquellos que
conozcan la contraseña de superusuario,
reduciendo así la exposición al riesgo del
equipo.
8. 3a y 4a Pregunta
●
Would you like to disable SUID status for
ping?
R= Similar al anterior.
●
Would you like to disable SUID status for at?
R= Similar al anterior.
9. 5ta Pregunta
Would you like to enforce password aging?
●
●
Habilita un tiempo de caducidad de las
contraseñas de 180 días, antes de que pase
ese tiempo se pedirá al usuario que cambie su
contraseña.
Si se cumple el plazo y el usuario no ha
cambiado su contraseña se procederá a
bloquear su cuenta hasta que el administrador
la vuelva a activar.
10. 6ta Pregunta
Should we disallow root login on tty’s 1-6?
●
Las tty, son terminales accesibles desde las
combinaciones CTRL+ALT+F1 hasta F7, por
lo que Bastille nos ofrece deshabilitar el
acceso root a dichas terminales para que sea
conectado antes con un usuario normal con
los mínimos privilegios posibles.
11. 7a Pregunta
Would you like to password protect single-user-mode?
●
●
El modo mono-usuario sirve para arrancar el sistema de manera
que única y exclusivamente pueda acceder el superusuario.
Es un tipo de acceso que se utiliza en casos de emergencia,
cuando por ejemplo no se recuerda la contraseña de root ya que
no suele solicitarse autentificación, esto supone un arma de
doble filo que puede permitir el acceso no autorizado al sistema.
12. ●
Si se activa esta opción, Bastille evitará esta
situación solicitando contraseña de root al
acceder por dicho modo.
13. 8a Pregunta
Would you like to set a default-deny on TCP
Wrappers and xinetd?
●
inetd es un demonio que se inicia al principio
de la secuencia de arranque en Linux, que
tiene la función de escuchar varios puertos
concretos y así cuando una conexión a un
puerto es requerida, inicia el proceso asociado
a dicho puerto.
14. ●
Como pueden ser las de servicios de FTP,
POP, IMAP, etcétera, por lo que no es
recomendable desactivarlo si se quiere utilizar
dichos servicios.
15. 9a Pregunta
Should Bastille ensure the telnet service does
not run on this system?
●
El servicio de telnet está obsoleto y supone un
riesgo grave para la seguridad del sistema al
transmitir los datos en claro; lo recomendable
en la actualidad es usar SSH que permite
acceder a la consola pero a través de un canal
cifrado.
16. 10a Pregunta
Should Bastille ensure inetd’s FTP service
does not run on this system?
●
●
Lo dicho para el servicio de telnet es
igualmente válido para el de FTP.
En este caso lo mejor es sustituirlo por SCP o
SFTP.
17. 11a Pregunta
Would you like to display “Authorized Use”
messages at log-in time?
●
●
Esta opción habilitará un mensaje que aparecerá al
comienzo de las sesiones de consola.
Este mensaje advertirá de que se está accediendo
a un sistema restringido y que cualquier acceso no
permitido puede ser perseguido por vía legal.
19. 12a Pregunta
●
●
●
Who is responsible for granting authorization
to use this machine?
Esta una pregunta dirigida a redactar el
mensaje mencionado antes.
En este caso se trata de identificar al
responsable del equipo encargado de
autorizar los diferentes accesos a él.