Linux Hardening: El init e inicio de servicios.

La mayoría de sistemas operativos vienen con un gran número de servicios que inician automáticamente durante el proceso de arranque. Obviamente, varios de ellos son actualmente importantes para la funcionalidad del sistema, otros son designados con la finalidad de iniciar aplicaciones automáticamente cómo SendMail y Apache. Pero, una gran cantidad de ellos son innecesarios y además en ocasiones pueden iniciar servicios que colocan en riesgo la seguridad de tu sistema. El init es el encargado de iniciar o detener los servicios que existen en el sistema.

A continuación dejaré una tabla (tomada desde experiencia personal), sobre cuales servicios se pueden deshabilitar y cuales no.

  Servicio Descripción  ¿Lo deshabilito?   anacron Una variante de la herramienta “cron”              SI   apmd Manejo Avanzado de Energía           Si   atd Servicio de la herramienta “at”           SI   autofs Automontaje de dispositivos           SI   crond The demonio cron           NO   cups Funciones de impresión           SI   functions Funciones de arranque para Scrips en Shell           NO   gpm Soporte de ratón para aplicaciones de texto           SI   irda Soporte para IrDA           SI   isdn Soporte para ISDN           SI   keytable Mapeo del teclado           NO   kudzu Pruebas de hardware           SI   lpd Demonio de impresión           SI   nfs Servicios NFS           SI   nfslock Servicios de bloqueo NFS           SI   ntpd Network Time Protocol dameon           SI   pcmcia Soporte para PCMCIA           SI   portmap Soporte para conexiones RPC           SI   random Instantáneas del estado random           NO   rawdevices Asignación de dispositivos de lectura a dispositivos bloqueados           SI   rhnsd RedHat Network Daemon           SI   snmpd Soporte para SNMPD Sí snmptrap Servicio de SNMPD trap           SI   sshd Secure Shell (SSH) daemon SI (Si no usas SSH)   winbind Soporte para Samba           SI   xfs Servidor X Font           SI   ypbind Soprte para cliente NIS/YP           SI

 

Un gran número de servicios listados en la tabla anterior, basta con aplicar sentido común para saber si deshabilitarlos o no. Por ejemplo, el servicio windbind es solo necesario sin realmente utilizas samba.

Si usted no tiene impresoras instaladas, no necesita de los servicios cups y lpd. Las recomendaciones aquí propuestas, están basadas en experiencia personal de que esos servicios no son requeridos en un equipo de producción. Por ejemplo, usted rara vez encontrará el servicio apmd activo en un servidor de producción, sin embargo este es comúnmente utilizado en portátiles para proveer el adecuado manejo de la energía.

Usted puede deshabilitar los servicios de acuerdo a las herramientas que te de tu distribución, actualmente la mayoría de sistemas GNU/Linux usan SystemD. Sin embargo, antiguas distribuciones usan SysVinit y otras usan OpenRC. Si el caso tuyo es SystemD, puedes deshabilitaros con la herramienta systemctl disable $service, si usas SysVinit, será update-rc.d #service remove, en caso que uses OpenRC será openrc|update-rc delete $service.

Síguenos en Facebook, Twitter, unete a nuestra charla en Riot, únete a IRC o únete a Telegram y no olvides compartirnos en las redes sociales. También puede hacernos una donación..