Guía Hardening – Actualización del Sistema

La falta de actualización de un sistema puede ser un grave problema de seguridad, aunque en lo personal es difícil verlo y normalmente siempre lo mantenemos actualizado, en el ámbito profesional vemos en algunas ocasiones auténticos disparates.
Esa situación puede poner en riesgo datos muy sensibles y en ocasiones hasta el sistema al completo, muchas veces lo tomamos a broma, y hemos visto más de una vez alguna foto con un cajero que utiliza windows xp o cualquier otro asunto parecido, sí, puedes estar pensando que estos asuntos quedan más bien en el ámbito empresarial, y tienes razón, pero también en otras muchas ocasiones es culpa nuestra.

En la administración de sistemas te encontraras en algunas ocasiones con estos problemas, solo tienes que preguntarle a algún compañero y seguro que te podrá contar alguna “batallita” sobre sistemas que llevan sin actualizarse años.

La mía sin ir más lejos fue hace unos meses, un cliente de una pequeña oficina me llamo para “modernizar su servidor” porque últimamente tenía problemas y todo funcionaba más lento, en este caso el cliente disponía de un servidor físico que alojaba su pagina web, las cuentas de correo de los trabajadores y datos, informes, contratos, etc.. en su disco duro, ya lo podéis imaginar, compro el servidor, contrato a alguien para su instalación y puesta en marcha,  y para no tener “más gastos” no quiso contratar un mantenimiento, situación, un servidor Debian 5.0 cuyo soporte finalizo en febrero de 2012, cuentas de correo de antiguos trabajadores aun en funcionamiento, con su respectivo acceso por web a sus carpetas personales y las de sus compañeros, y la guinda del pastel, 2 cuentas de FTP que presuntamente, crearon dos antiguos empleados y estaban utilizando el servidor para almacenar sus cosas.

Como podéis ver es habitual encontrarse en estas situaciones y todo por no tener unas políticas mínimas de seguridad, y como no, por ahorrase cuatro duros que 5 años después ha tenido que pagar, y con intereses podríamos decir };-)

Y ahora continuemos con el hardening de nuestro sistema, con esta pequeña batallita quería demostrar que la falta de actualización puede suponer un gran problema, y aunque en esta entrada solo tratare los métodos para mantener nuestro sistema actualizado y efectuar la primera instalación, también queremos insistir en el echo de que la actualización de un sistema, junto a unas mínimas comprobaciones en cuanto a políticas de seguridad, nos evitara futuros problemas.

ACTUALIZANDO

En Debian tenemos a nuestra disposición varias herramientas para esta tarea (aptitude, apt-get, apt), pero hoy nos centraremos en APT (Advanced Packaging Tool). El método a seguir es bastante sencillo, tan solo debemos ejecutar como root (superusuario) en la linea de comandos:

root@debian:/# apt update

Cuando ejecutamos este comando, automáticamente comprueba los paquetes que tenemos instalados y si es necesaria su actualización, esto se hace comprobando en el repositorio si existe alguna versión nueva o alguna actualización de seguridad.
Normalmente nos indicara el numero de paquetes que es necesario actualizar, en mi caso me indica que se pueden actualizar 20 paquetes y que si quiero verlos antes de proceder a la actualización ejecute la siguiente orden:

root@debian:/# apt list –upgradable

Ahora podemos ver el nombre del paquete, la versión, la rama de Debian en la que nos encontramos (Stable, Testing, Sid) y la versión en la que se encuentra actualmente el paquete. Esta información nos puede ser de ayuda en determinadas ocasiones, como he comentado al principio no es lo mismo actualizar un sistema personal que en un entorno empresarial, en este ultimo te puedes encontrar con limitaciones a la hora de actualizar, debido a que se utilice algún tipo de software creado ex profeso para la empresa, y antes de actualizar se debe comprobar si alguna dependencia le afecta.
Como no es nuestro caso y ademas estamos actualizando un sistema mínimo, procedemos a su actualización:

root@debian:/# apt upgrade

El sistema preguntara si queremos o no proceder a la actualización, y continuara el proceso, esta operación tardara más o menos tiempo dependiendo del numero de paquetes que se debe actualizar y nuestra conexión.
Si esta leyendo esto algún usuario avanzado seguro que echa en falta más opciones, como un safe-upgrade o full-upgrade, incluso la utilización de aptitude o apt-get, calma, todo esto se vera en el siguiente capitulo de la guía, en el cual abarcamos algunas de las opciones posibles con apt, apt-get o aptitude 😉

AUTOMATIZANDO

Actualizar el sistema lo podemos hacer de varias maneras, manualmente o automáticamente, y aquí entra una de las principales reglas de la administración de sistemas “Automatizar todo lo que se pueda”

root@debian:/# apt-get install unattended-upgrades

Una vez instalado el paquete se debe editar el archivo “20auto-upgrades“, si por alguna razón no lo encontramos se puede crear manualmente o podemos ejecutar la siguiente orden:

root@debian:/# dpkg-reconfigure -plow unattended-upgrades

Esta orden hará que se muestre la siguiente pantalla, y pedirá autorización para continuar con la descarga y actualización automática del sistema.

dpkg

 

Ahora podemos ver el archivo “20auto-upgrades” y editarlo si es necesario, pero seguramente ya se encuentre configurado para permitir la actualización automática del sistema.

root@debian:/# vim /etc/apt/apt.conf.d/20auto-upgrades

APT::Periodic::Update-Package-Lists “1”;
APT::Periodic::Unattended-Upgrade “1”;

Otro archivo que debemos configrar si no lo esta es “50unattended-upgrades“, el proceso similar al anterior, con nuestro editor favorito lo editamos y buscamos el siguiente texto “Unattended-Upgrade::Origins-Pattern

root@debian:/# vim /etc/apt/apt.conf.d/50unattended-upgrades

Seguidamente se debe descomentar la siguiente linea, quitando “//”.

o=Debian,n=Jessie,l=Debian-Security

Echo todo esto ya te puedes despreocupar un poco, pero solo un poco, de las actualizaciones del sistema. Y digo poco por que aunque este proceso este automatizado, todavía queda mucho por hacer y monitorizar.

2 opiniones en “Guía Hardening – Actualización del Sistema”

  1. Gran artículo Israel. Bueno, bonito y barato. Muy fácil de entender, practico y sencillo de realizar. Me ha gustado mucho. Es el típico post que debe estar en el “must read” de cualquier sysadmin que se precie.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *