epespad

Usando Ubuntu (Parte 3)

Usando Ubuntu (Parte 3)Enlaces a las partes 1 y 2:


https://www.taringa.net/posts/ciencia-educacion/20231669/Usando-Ubuntu-Parte-2.html

Una vez Ubuntu esté instalado y configurado de manera correcta, y hayamos reducido las posibilidades de ataques en red, empezaremos a preocuparnos por nuestra seguridad a un nivel de aplicaciones.

Llegado el caso de que abriéramos un archivo malicioso, podría un hacker acceder a los archivos en nuestro sistema? Sus posibilidades serían muy pocas si ponemos algunas cosas en su lugar...

En ésta tercera parte nos daremos una idea de cómo funcionan los repositorios de Ubuntu, cúales deberíamos evitar, y cómo actualizarlos. También cómo importar perfiles adicionales de AppArmor para limitar los recursos que las aplicaciones pueden utilizar, y cómo aislar aplicaciones 'inseguras' del sistema operativo a través del "SandBoxing".

Si no vieron las partes anteriores, deberían hacerlo; y si igual no entienden nada, a futuro quizá haga un post más basíco pero ahora lo "primordial" me parece ésto. (Serán 4 partes en total).

Ubuntu

Paso 1: Instalar las últimas actualizaciones de sistema


Parte de mantener un sistema seguro es simplemente tener instaladas todas las actualizaciones del sistema y sus aplicaciones.

Si están acostumbrados a Windows, lo más probable es que descarguen e instalen programas y juegos de diferentes páginas web de dudosa procedencia... Cosas inherentemente inseguras.

Linux maneja la instalación de software de manera diferente.

Ubuntu usa varios repositorios (servidores) que contienen paquetes (software y dependencias) mayormente auditados por Canonical, los desarrolladores de Ubuntu, y responsables de su seguridad.

sistema

Los repositorios se dividen en las siguientes categorías:


Main: Compuesto por las aplicaciones y el software libre principal; libremente distribuido y totalmente soportado por el equipo de Ubuntu. Incluye las más populares y confiables aplicaciones disponibles de código abierto, muchas de las cuales ya están incluidas por defecto al instalar el sistema. Seleccionadas en base a cuáles los desarrolladores, la comunidad, y los usuarios creen más importantes y están dispuestos a soportar.


Universe: Éste repositorio es una colección de software libre y de código abierto de un enorme rango de fuentes públicas. Canonical provee actualizaciones de seguridad regulares para el software de éste repositorio a medida que se van haciendo disponibles a la comunidad. Las aplicaciones más populares y con buen soporte pueden ser incluidas en el repositorio principal si los desarrolladores están dispuestos a cumplir con los estándares propuestos por el equipo Ubuntu.


Restricted: Ubuntu se compromete a solamente promover el uso de software libre, sin embargo hacen excepciones para un pequeño grupo de herramientas y controladores que hacen posible que el sistema y sus aplicaciones funcionen un rango de hardware mucho más amplio. Éstos drivers o controladores propietarios se mantienen en el repositorio restringido. Debemos considerar que quizás no le sea posible a los desarrolladores de Ubuntu proveer soporte completo para éste software ya que no pueden modificar el código, solamente escalar el problema a los verdadores autores. Solamente utilizarán software cerrado cuando no haya otra manera de instalar el sistema.


Multiverse: Éste repositorio contiene software que no es libre, o que no es gratuito. O por decirlo de otra manera, que no cumple con las políticas de licencias de Ubuntu. La resposabilidad sobre el uso de éste software recae en nosotros y muy probablemente acate términos de derechos de autor. No es 'oficialmente' soportado por la comunidad Ubuntu y no puede ser reparado o actualizado por ésta.

hacking

Deshabilitar los repositorios inseguros
Antes de actualizar cualquier paquete, abrimos la ventana de "Software & Updates" y en la pestaña de "Ubuntu Software" deshabilitamos los repositorios multiverse y restricted.

parte

Ahora, en la pestaña "Other Software" des-tildamos las opciones de "CanonicalPartners".

Windows

Deshabilitar los Backports

Éstos ofrecen una manera de proveer nuevas versiones de software para versiones más antiguas de Ubuntu. El equipo de seguridad de Ubuntu no actualiza éstos paquetes, ya que comúnmente el equipo propio de los backports libera nuevas versiones de sus aplicaciones; y por ésta razón recomiendo deshabilitarlos desmarcando la opción "bionic-backports"

seguridad

Por defecto, Ubuntu debería descargar e instalar actualizaciones automáticamente de manera diaria.

Buscar actualizaciones manualmente

Para ésto utilizamos el conjunto de comandos

sudo apt-get update && sudo apt-get dist-upgrade -y

firejail

Usando Ubuntu (Parte 3)

Paso 2: Usar perfiles de AppArmor


AppArmor es una mejora de kernel que confina las aplicaciones y programas a un grupo limitado de recursos. Por ejemplo, podemos limitar el acceso a internet de un lector de PDF y determinados directorios del sistema. De ésta manera, si abriéramos un documento PDF malicioso, no permitiríamos que éste obtuviera y enviara información nuestra. Por defecto, estará instalado y habilitado en nuestra instalación. Podemos verificarlo con el comando

sudo aa-status

Instalar perfiles adicionales de AppArmor

Usamos el comando sudo apt-get install apparmor-profiles apparmor-utils para instalar los perfiles y utilidades

Ubuntu

Habilitar cada perfil

Usamos el comando sudo aa-enforce para habilitar los perfiles recién agregados
sistema

Obviamente podemos crear nuestros propios scripts y perfiles, para comprender mejor AppArmor podemos ver los manuales con el comando man.

man apparmor

man aa-status

man aa-enforce

hacking

Paso 3: Archivos y aplicaciones en un entorno aislado


Firejail es una herramienta bastante "ligera" que aísla aplicaciones restringiéndolas a un entorno "contenido". En el GIF vemos como el lector PDF por defecto de Ubuntu abre un archivo 'inseguro'.

parte

Usando Firejail y AppArmor conjuntamente podríamos estar casi seguros que uno podría compensar cualquier fallo del otro. Entre las características de Firejail:

Listas negras: Podemos denegar el acceso a archivos y carpetas específicos. Los intentos se reportan al syslog.

Listas blancas: Permitir solamente archivos y carpetas especificadas por nosotros.

Ficheros de sistema temporales: Monta copias de los archivos y directorios y los descarta al cerrar el entorno.

Home restringida: Solamente la /home del usuario actual estará disponible dentro del entorno.

Reduce la fuga de información de nuestro sistema: Restringe el acceso a carpetas sensibles como /boot /proc y /sys.

1) Descargar e instalar Firejail

La última versión es de hace 3 días al momento de hacer el post; Descargamos el archivo .deb.


En la terminal, podemos movernos y ver los archivos y carpetas con los comandos cd y ls .

cd /Downloads

sudo dpkg -i firejail_0.9.56~rc1_1_amd64.deb

La herramienta tiene demasiadas opciones como para varios post, por lo que voy a mostrar la que creo más nos va a interesar y mejor explica el uso en sí de Firejail.

Aislar Firefox con Firejail con el comando firejail --seccomp --nonewprivs --private --private-tmp firefox

Firefox se abrirá en un entorno contenido y desechará los archivos guardados en la /home temporal que hemos creado.

Ésto es sólo un ejemplo de muchísimos usos que se le pueden dar a Firejail. También pueden usar la interfaz gráfica Firetools.

Windows

Próximo y último post: Antivirus, monitoreo del sistema y auditoría



Comentarios Destacados

gergarfe +6
Leí tu segundo post, ahora este ¿no será un nivel paranoico de seguridad? Estás deshabilitando las impresoras , ahora los repositorios sólo para tener prácticamente el mínimo, los mas seguros pero haciendo eso te perdés muchos programas que también valen la pena.
Está bien que haya inseguridad, que no se pueda confiar, que te puedan robar datos pero la mayor parte de las veces el peor problema es usar contraseñas débiles.
lllRocco +11
Está ideado a un nivel paranoico como bien señalaste Gracias por pasarte !
sparissi +5
Ningun nivel de seguridad es paranoico...a vos seguro nunca te ataco un ransom a mi si y es horrendo cuando ves todo encriptado y el mensajito de esos miserables pidiendo rescate yo en win uso todo portable todo en memo nada en disco buen post +10

16 comentarios - Usando Ubuntu (Parte 3)

silvermig +1
Buena serie de guias. Hoy, para cualquier estudiante, o para cualquier otro uso, Ubuntu te da todo lo que necesitás y de manera accesible. Ya te diría que ni para juegos es necesario Windows, a menos que seas un gamer que juega esos exclusivos. Para todo lo demás, Ubuntu.
soma10220 +3
Como usuario de ambos sistemas operativos, déjame indicar lo contrario. Linux es para usos especificos pero para el dia a día es un problema tras otro, por ej. Si usas hdr hvec en Ubuntu ni el vlc funciona correctamente, los juegos rinden medianamente bien y para lograr estos dos puntos medianamente debes hacer unos cuantos tutoriales... Es poco práctico aún pero mucho más amigable cada año.
abelnicolas1976 +4
Buena guía, pero sería un desperdicio la GT-1030 si no instalo los drivers privativos
lllRocco +1
Podés hacerlo... Bajo tu propio riesgo jajaja. El nouveau quizá te hinche las bolas
octapollo +1
@lllRocco Aunque hiciste post de Ubuntu, sirve para inspirarse de las medidas y buscar el equivalente en otras distros, muy seguro que todas comparten ideas muy parecidas de seguridad.
JQCKiller +1
Dónde bajo abuntu capo, ayuda!!
lllRocco +2
https://www.ubuntu.com/download/desktop
leonardo1983 +1
Yo no uso Windows desde hace más de 10 años, es una estafa existiendo Ubuntu
Vlad_Empalador
Deja la farsa, si realmente pensaras que soy clon de Leo, me habrías bloqueado también (infiero que lo bloqueaste por lo de los negativos).

Si me vuelves a responder, te respondo mañana, cuando ya el post esté muerto
@Xedrox
Xedrox
@Vlad_Empalador No bloqueo a nadie, si decis que no sos clon te creo campeon, sisi tee creo
Xedrox
Adivipos
Tanta seguridad para que?
Adivipos
@DebianLinux obviamente si, Ares en 2018? WTF
DebianLinux
@Adivipos Parece que reparas PC de personas muy actuales... Yo he reparado PC incluso con XP hace un par de meses de una señora que se resistía al cambio. Logré hacerla entrar en el mundo de windows 7 (pirata obviamente). Basado en MIs vivencias con Debian, siempre se porta como en el primer dia. Yo estudié en la universidad y la terminé a puro Debian, jamas presentó problemas de lentitud.
Adivipos
@DebianLinux bueno solo te digo que ares ya fue, hay mejored alternativas que ese descargador de virus...
Ubbo-Sathla
alguien que me diga como encontrar un buen controlador para mi amd readon y mi touchpad tipico de samsung en lunix
lllRocco
AMD tiene drivers para Ubuntu; en cuanto al touchpad muy raro que no funcione con los que incluye Habría que ver específicamente que modelo estás usando
Ubbo-Sathla
@lllRocco funciona pero hasta en sensibilidad minima llega a ser cansador, lo mismo para el mouse
lllRocco
@Ubbo-Sathla https://ubuntuforums.org/showthread.php?t=2382933
Sup3rRaton +1
yo usualmente uso Chromium adentro de un container, en este momento con LXD, el sistema operativo que corre el navegador esta confinado con apparmor adentro y fuera del container, ademas del sandbox del navegador que corre tambien en un sistema operativo preparado simplemente para correr Chromium o Firefox.. ironicamente es mucho mas rapido que windows! quiza sea un poco complicado configurar el container al principio pero una vez hecho creo que es mas confiable que Firejail, pero bueno esa es mi opinion..
Zorronde
Cada uno con su "librito"
Y yo con el MIO
JAMAS dejare a WINDOWS 10v.1803
MASTER_OF_MOMOS
Desde hace unos meses a mí me tarda en arrancar una vez que les mandas la contraseña, y a veces me anda lento. Alguna solución?
lllRocco
Revisar el syslog a ver si algún proceso lo está demorando... A mi una vez me demoraba el inicio el network-manager, se quedaba 30-50 segundos bajando y levantando las interfaces...
1234bloqueado +1
Tremendos posts te mandaste! +10, te quiero hacer la siguiente consulta: yo nunca use antivirus, actualmente tengo el windows defender q viene por defecto en windows 10 y me da curiosidad saber como haria un hacker para atacarme porque yo cuando estoy internet me manejo por paginas conocidas y 'seguras', solo bajo programas/juegos conocidos desde sitios 'seguros' y que son utilizados por cientos de miles de personas, por ahi lo unico 'random' que puedo bajar es un repo de github pero eso es todo asi que como podria hacer un hacker para detectar mi presencia en internet y atacarme ? En lo unico que me siento vulnerable al no aplicar todas las medidas de seguridad que vos explicas es en que alguien se meta en mi propia red wifi y ahi se ponga a urgar en mi pc, tambien vi en el primer post que cuando descargabas el ubuntu desde la pagina oficial tambien verificabas la integridad del archivo con el hash pero cual es la probabilidad de que un hacker se meta al sitio oficial de ubuntu o cualquier sitio reconocido con buenas medidas de seguridad y altere ese tipo de archivos?
lllRocco +1
Mmm, voy a tratar de responderte "por arriba" por que si no imposible... Si estás bajando porquerías, eventualmente la vas a quedar, no por que el target seas vos, si no porque ese tipo de malware está dirigido "a quien sea"... En cuanto a la red WiFi, tengo pensado dedicar un post a su configuración; y estando en tu red, no es que alguien kakearía la web de Ubuntu, si no que podría levantar una trucha con un server LAMP ligerito en una Raspberry o algo así (ejemplo)
lllRocco +1
El Windows Defender dentro de todo "zafa", el tema es que sobre todo bajando juegos o programas alguno requerirá permisos de administrador... Para que específicamente ? Vaya a saberlo, ya que seguramente su código sea cerrado... Y código cerrado, descargado trucho, de una web dudosa...
1234bloqueado +1
@lllRocco Buenisimo muchas gracias por responder, me parece buena idea lo del post dedicado a las redes wifi, quedo a la espera! saludos.