UNIVERSIDAD AUTÓNOMA GABRIEL RÉNE

MORENO
FACULTAD DE INGENIERIA EN CIENCIAS
DE LA COMPUTACIÓN Y TELECOMUNICACIONES

PERTENECE A : Patton Chávez Erick Alexander

Domínguez Molina Roberto Yunior

CARRERA : Ing. en Sistemas

MATERIA : Sistemas Operativos II

HARDENING EN KALI LINUX

(APACHE Y FTP)

Santa Cruz – Bolivia

1
Contenido
Parte 1.- Aspectos Generales......................................................................................................... 3
Introducción .............................................................................................................................. 3
Objetivo ..................................................................................................................................... 3
Alcance ...................................................................................................................................... 4
Parte 2.- Desarrollo ....................................................................................................................... 4
Instalación y configuración Kali Linux ......................................................................................... 4
Instalación FTP y Apache ............................................................................................................ 8
Motivos para proteger el GRUB .................................................................................................. 9
Hardening Apache .................................................................................................................... 10
Hardening FTP.......................................................................................................................... 15

2
Parte 1.- Aspectos Generales
Introducción
Linux es un sistema operativo de open source y una plataforma de infraestructura de TI.
Originalmente, Tal vez lo mejor sobre Linux es que es open source.
Linux se lanza en virtud de la Licencia de uso público GNU. Esto significa que todos pueden
ejecutar, estudiar, compartir y modificar el software. El código modificado también se
puede redistribuir e incluso vender, pero todo esto se debe hacer con la misma licencia.
Uno de sus más grandes y conocidos proyectos dentro de todos los sistemas operativos
Linux es Debian, un sistema operativo libre, desarrollado por miles de voluntarios de todo
el mundo, que colaboran a través de Internet.
Puedes encontrar algunas distros en las que podrás realizar cualquier tarea habitual como
escuchar música, reproducir archivos de vídeo o editar documentos, sin necesidad de
instalar ningún paquete de software adicional. Por otro lado, también existen distros
especializadas están orientadas a un uso mucho más concreto, en las que podrás encontrar
distros especialmente concebidas para su utilización en la edición de música, en la
programación o, como es el caso de Kali Linux, en tareas relacionadas con la seguridad
informática, está concebida como herramienta para tareas de análisis forense, con la que
descubrir por dónde ha sido atacado un sistema informático y encontrar posibles rastros de
su atacante.
Una de las principales virtudes de Kali Linux son las más de 300 herramientas y aplicaciones
relacionadas con la seguridad informática que incluye esta distribución, destacando algunas
tan conocidas como Nmap, que permite escanear los puertos de un sistema, el crackeador
de contraseñas Jack the Ripper o la suite Aircrack-ng para comprobar la seguridad de las
redes inalámbricas.

Objetivo
Mostrar y enseñar la manera de instalar el sistema operativo kali Linux, así como
configuraciones y métodos de hardening para asegurar el correcto y seguro funcionamiento
de esto como servidor FTP y apache de manera clara y gráfica tomando ayuda de ejemplos
claros.

3
Alcance
*Explicación breve del sistema operativo Linux y de la distro Kali.

*Instalación del SO kali Linux en una máquina virtual en virtualBox.

*Instalación de los servicios FTP y apache dentro de kali Linux.

*Métodos de hardening FTP en kali.

*Métodos de hardning Apache en kali.

Parte 2.- Desarrollo

Instalación y configuración Kali Linux
Alistamos la maquina virtual desde virtualbox , Kali usara tipo: Linux y versión Debian 64 o
32 bits dependiendo la que se haya descargado, necesita minimo 8Gb para ser instalada
correctamente.

Configuramos los adaptadores de redes necesarios, en puente para la red y NAT para que
tenga internet el cual será necesario para bajar las actualizaciones.
Una vez este corriendo el disco de instalación, elegiremos “Instalar versión Grafica” la cual
nso dará un entorno más amigable para trabajar.

4
Nos da la opción de elegir idioma, teclado, zona horaria y comenzara la instalación del SO base lo
cual dura aproximadamente 15 minutos

Posteriormente nos pedirá generar una cuenta principal con la cual accederemos a la pc de
manera primaria, nos pide una contraseña con al menos una letra o un numero.

5
En el particionado elegimos usar todo el disco para nuestra distro de kali

Llegado a este punto, nos preguntara si deseamos eliminar todos los datos previos que
pueda tener el disco duro de antes, lo cual diremos que si.

El sistema voverá a cargar nuevamente hasta que llegue al siguiente cuadro donde nso
preguntara programas que necesite para el trabajo y que son parte de kali Linux, esto se

6
ha implementado para no descargar de lleno todo y solamente tener a mano lo que se
necesita.
Podemos elegir el tipo de entorno que se desee instalar para trabajar y una serie de
herramientas entre las básicas hasta las mas usadas.
Luego de elegir, este proceso tomara entre 30-60 minutos dependiendo la cantidad de
herramientas que se desee instalar.

Luego de instalar las herramientas, nos pregunta donde instalar el GRUB, lo cual
elegiremos la opción que nos da de segundo.

7
Finalmente nos pide reiniciar el equipo (lo hace automáticamente) y podremos logearnos
con nuestro usuario principal.

Instalación FTP y Apache

Al tener por primera vez Kali, deberemos ingresar a nuestra terminal e ingresar en modo root

*sudo su

Posteriormente actualizar los paquetes

*apt-get update

Para instalar el servicio FTP escribimos:

*apt-get install vsftpd

Editamos nano /etc/vsftpd.conf , quitamos el anónimo y habilitamos local_enable.

Guardamos e iniciamos el servicio

*service vsftpd start

Podemos verificar que esta corriendo de manera satisfactoria con el comando:

*service vsftpd status

8
Para nuestro servicio apache usaremos un simple comando:
apt-get install apache2
Kali 2020 viene con el servicio apache2 por defecto por lo que puede que al intentar
instalarlo nos salga que ya se cuenta con el servicio y ningún cambio fue hecho con la
instalación, pero podemos usar el comando para versiones antiguas.

Motivos para proteger el GRUB

Podemos definir a GNU GRUB (o simplemente GRUB) como un gestor de arranque múltiple
muy poderoso que permite cargar una amplia variedad de sistemas operativos, tanto libres
como propietarios. Si el Grub de nuestro equipo no está protegido cualquier usuario con un
nivel medio/bajo puede realizar las siguientes acciones:

*Editando los parámetros del Grub es fácil acceder a nuestro ordenador como superusuario
o usuario root.
*Si un atacante puede acceder a nuestro equipo como usuario root tendrá el control total
del equipo y de la información almacenada en él.
*Sin necesidad de introducir ningún usuario ni contraseña un atacante puede abrir un
intérprete de órdenes para intentar recabar información de nuestro equipo, para modificar
configuraciones, etc.
*En el caso de tener el control sobre el Grub, podemos prevenir que ciertos usuarios puedan
usar sistemas operativos inseguros, o sistemas operativos que simplemente no queremos
que se usen.
En definitiva, si no protegemos el Grub, estaremos dejando un agujero de seguridad muy
grande a la totalidad de personas que tengan acceso directo a nuestro ordenador. Este
agujero de seguridad permitirá al atacante hacerse con el control absoluto de nuestro
equipo de forma muy fácil y rápida.

9
Hardening Apache

1.Retirar banner que muestra la versión y el SO de apache

Este método evita que nuestra versión de apache y sistema operativo salga en pantalla tras una
carga fallida de conexión.

ítem comando descripción Responsable Autorizado Serv/Cliente

1 sudo nano Administrador Administrador SI/NO

/etc/apache2/conf- Cambiar ServerTokens de sistemas de sistemas
enabled/security.conf OS por
ServerTokens Prod

2 sudo nano Cambiar Administrador SI/NO

/etc/apache2/conf- ServerSignature On por de sistemas
enabled/security.conf ServerSignature Off

Reiniciar servicio sudo service apache2 Administrador SI/NO

restart de sistemas

2. desactivar directorio de búsqueda

Sin esta opción activada, el atacante tiene libre visión grafica de los archivos y carpetas de los
servicios web que se tienen.

ítem comando descripción Responsable Autorizado Serv/Cliente

1 sudo nano Administrador Administrador SI/NO

/etc/apache2/apache2.conf Cambiar de sistemas de sistemas
<Directory/www/>
A
<Directory/www/html/>
Options –
FollowSymlinks
AllowOverride None
Required all granted
<Directory/>

Reiniciar servicio sudo service apache2 Administrador SI/NO

restart de sistemas

10
3. Cambiar el contenido del index.html

ítem comando descripcion Responsable Autorizado Serv/Cliente

1 sudo nano Administrador Administrador SI/NO

/var/www/html/index.html <h1>It Works!</h1> de sistemas de sistemas

Reiniciar servicio sudo service SI/NO

apache2 restart

4. Instalación de módulos de seguridad con a2enmod security

Trabaja básicamente como un firewall para nuestras aplicaciones web y nos da un monitoreo del
trafico en tiempo real. También nos ayuda a proteger nuestro servicio web de ataques de fuerza
bruta.

item comando descripcion Responsable Autorizado Serv/Cliente

1 sudo apt –get install Administrador Administrador SI/NO

libapache2-mod- Instala a2enmod de sistemas de sistemas
security2

2 Sudo a2enmod Activa los modulos Administrador SI/NO

security2 de sistemas
3 Reiniciar servicio sudo service apache2 Administrador SI/NO
restart de sistemas

5. Cambiar el tiempo de espera de peticiones

Con el fin de evitar ataques masivos que puedan tirar nuestra pagian se define un tiempo menor
de espera en las peticiones.

item comando descripcion Responsable Autorizado Serv/Cliente

1 sudo nano Administrador Administrador SI/NO

/etc/apache2/apache2.conf Cambiar Timeout de sistemas de sistemas
300 a
Timeout 100

2 Reiniciar servicio sudo service Administrador SI/NO

apache2 restart de sistemas

11
6. evitar mostrar información sensible

Evita que muestre

item comando descripcion Responsable Autorizado Serv/Cliente

1 sudo nano Administrador SI/NO

/etc/apache2/apache2.conf Añadir de sistemas
FileETag none

2 Reiniciar servicio sudo service apache2 Administrador SI/NO

restart de sistemas

7. apache administrado por Usuario no root

Debemos evitar tener un usuario root ya que la filtración de la cuenta y contraseña de éste podría
ser catastrófico puesto que cualquiera con este poder podría modificar todo el servicio a su
antojo.

item comando descripcion Responsable Autorizado Serv/Cliente

1 Sudo groupadd apache Administrador Administrador SI/NO

Añade grupo apache de sistemas de sistemas

2 Sudo useradd –g apache Añade Usuario Administrador SI/NO

admin_apache admin_apache y lo de sistemas
pone dentro del grupo
apache
3 Sudo Chown –R Hace dueño de la Administrador SI/NO
admin_apache:apache carpeta www al de sistemas
/var/www administrador
4 Sudo nano Editar usuario y grupo Administrador SI/NO
/etc/apache2/envvars con los añadidos de sistemas
anteriormente
4 Reiniciar servicio sudo service apache2 Administrador SI/NO
restart de sistemas
Ejecutamos ps –ef para ver los procesos

12
8. Cambiar el tamaño de las solicitudes HTTP

Es la principal forma de los ataques de denegación de acceso, esto para evitar solicitudes
demasiado grantes que puedan bloquear las capacidades del servicio.

item comando descripcion Responsable Autorizado Serv/Cliente

1 sudo nano Administrador Administrador SI/NO

/etc/apache2/apache2.conf Añadir de sistemas de sistemas
TimeRequestBody
1024576

2 Reiniciar servicio sudo service Administrador SI/NO

apache2 restart de sistemas

9.Mantener apache constantemente actualizado

La comunidad de desarrolladoes de apache están constanemente subiendo y arreglando

potenciales errores y vulnerabilidades con nuevas opciones de seguridad, por lo que es muy
importante mantener apache actualizado

item comando descripcion Responsable Autorizado Serv/Cliente

Verificas la version
que tienes Administrador Administrador SI/NO
1 httpd -v actualmente
actualiza apache
con la ultima Administrador Administrador SI/NO
2 yum update httpd version disponible

13
10.Desactivar módulos innecesarios

Lo mejor es evitar en su mayoría módulos que no se estén usando para darle menos
oportunidades a los atacantes a tener una oportunidad de vulnerarnos.

item comando descripcion Responsable Autorizado Serv/Cliente

accedemos a las
configuraciones
del apache nde
Administrador Administrador SI/NO
veremos una
lista de modulos
1 /etc/httpd/conf/httpd.conf cargados
anteponiendo el
simbolo #
podremos
Administrador Administrador SI/NO
desactivar el
modulo
2 #LoadModule deseado

14
Hardening FTP
1.Desactivar Usuario anónimo

Deshabilitar el usuario anónimo evita que cualquiera que no tenga una cuenta en el servidor
ingrese a los archivos.

item comando descripcion Responsable Autorizado Serv/Cliente

1 sudo nano Administrador Administrador SI/NO

/etc/vsftpd.conf anonymous_enable=NO de sistemas de sistemas

2 Reiniciar servicio sudo service vsftpd Administrador Administrador SI/NO

restart de sistemas de sistemas

2. Deshabilitar root

Es importante deshabilitar el superusuario ya que sería desastroso que alguien consiga la cuenta y
poder hacer con el servicio lo que quisiera, para evitar

item comando descripcion Responsable Autorizado Serv/Cliente

1 sudo nano Administrador Administrador SI/NO

/etc/ftpusers Añadir al usuario root a de sistemas de sistemas
la lista negra
2 Reiniciar servicio sudo service vsftpd Administrador Administrador SI/NO
restart de sistemas de sistemas

3. Configurar Firewall

El firewall siempre es una fuerte medida para evitar ataques externos pero debe ser configurado
para permitir funcionar los puertos con los que trabaja el ftp, no siempre son el 20 o 21 ya que
estos deberían cambiarse para mas seguridad.

item comando descripcion Responsable Autorizado Serv/Cliente

1 Sudo ufw allow Administrador Administrador SI/NO

openssh Instala el firewall de sistemas de sistemas

2 Sudo ufw allow 20/tcp Habilita las reglas para Administrador Administrador SI/NO
los puertos que utiliza de sistemas de sistemas
Sudo ufw allow 21/tcp ftp

15
 Sudo ufw allow
40000:50000/tcp

Sudo ufw allow

990/tcp
3 Sudo ufw enable Habilita el firewall de Administrador Administrador SI/NO
ftp de sistemas de sistemas
4 Reiniciar servicio sudo service vsftpd Administrador Administrador SI/NO
restart de sistemas de sistemas

4. Desactivar ftp cuando no se transfieran archivos

Una de las formas de protegerse de los ataques es desactivar ftp cuando no se esté utilizando y
volver a activar cuando se vayan a transferir archivos

item comando descripcion Responsable Autorizado Serv/Cliente

- Activar servicio Administrador Administrador SI/NO

sudo service vsftpd de sistemas de sistemas
start

- Desactivar servicio sudo service vsftpd stop Administrador Administrador SI/NO

de sistemas de sistemas

5. Conexion segura con TLS

Te permite confiar información personal a sitios web, ya que tus datos se ocultan a través de
métodos criptográficos mientras navegas en sitios seguros.

item comando descripcion Responsable Autorizado Serv/Cliente

1 sudo openssl req -x509 – Administrador Administrador SI/NO

nodes –days 365 –newkey Crea certificado ssl de sistemas de sistemas
rsa:2048 –keyout
/etc/ssl/private/vsftpd.pem
–out
/etc/ssl/private/vsftpd.pem
sudo nano /etc/vsftpd.conf Añadir Administrador Administrador
ssl_enable=YES de sistemas de sistemas
rsa_cert_file=
/etc/ssl/private/vsftpd.pem
rsa_private_key_file=
/etc/ssl/private/vsftpd.pem
allow_anon_ssl=NO
force_local_data_ssl=YES

16
 force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
require_ssl_reuse=NO
ssl_ciphers=HIGH

2 Reiniciar servicio sudo service vsftpd restart Administrador Administrador SI/NO

de sistemas de sistemas

6. Desactivar ipv6

Este protocol aun se encuentra en fase beta y no esta del todo bien implementado por lo que
puede ser una peligrosa puerta trasera para infiltraciones dentro del servidor, hay que
deshabilitarlo.

item comando descripcion Responsable Autorizado Serv/Cliente

1 sudo nano Administrador Administrador SI/NO

/etc/vsftpd.conf Listen_ipv6=NO de sistemas de sistemas

2 Reiniciar servicio sudo service vsftpd Administrador SI/NO

restart de sistemas

7. Cambiar puertos FTP

Es muy conocido que el servicio FTP se encuentra por defecto en el puerto 21 por lo que es la
principal opción a buscar por los atacantes, cambiando el puerto se dificulta saber la entrada.

item comando descripcion Responsable Autorizado Serv/Cliente

ingresamos a las
sudo nano
propiedades del Administrador
/etc/proftpd/proftpd.conf
1 servicio ftp Administrador de sistemas SI/NO
Cambiamos el puerto
por algun otro
numero por ejemplo Administrador
2 Port 777 777 Administrador de sistemas SI/NO
3 ctrl+o ; ctrl+x guardamos y salimos Administrador SI/NO

17
8.-Cambiar los puertos PASV de Vsftpd

Si se quiere cambiar los TCP PASV asociados a la conexión de controlen el config del vsftp.config
agregar la siguiente directiva para indicar el rango de los puertos máximos y minimos.

item comando descripcion Responsable Autorizado Serv/Cliente

Indicar los puertos
pasv_max_port=10000
1 maximos y minimos Administrador SI/NO
pasv_min_port=9000
del pasv

9.Jailing a los usuarios de FTP

Se puede proteger el servicio FTP encarcelando a los usuarios de FTP en sus directorios de inicio y
que solo usuarios específicos puedan acceder al servicio.

item comando descripcion Responsable Autorizado Serv/Cliente

Acceder a la
edicion del
1 /etc/vsftpd/vsftpd.conf Administrador SI/NO
archivo de
configuracion
chroot_local_user=YES
chroot_list_enable=YES descomentar Administrador SI/NO
2 chroot_list_file=/etc/vsftpd.chroot_list las opciones
agregar la lista
de usuarios
3 Administrador SI/NO
encarcelados
nano /etc/vsftpd.chroot_list uno por linea
reiniciar el
Administrador SI/NO
4 systemctl restart vsftpd servicio

10 Mensaje de bienvenida

Por defecto, el mensaje de bienvenida contiene información que los atacantes pueden utilizar
para forzar nuestro sistema, es de buena práctica deshabilitarla.

item comando descripcion Responsable Autorizado Serv/Cliente

Administrador Administrador SI/NO

nano acceder al archivo y agregar:
1 /etc/vsftpd.conf ftpd_banner=<insert_greeting_here>

18