Seguridad y distribuciones

Las distribuciones ¹ se han convertido en uno de los canales principales de distribución de software y de operación con el mismo para el sistema operativo Linux, de modo que es interesante repasar que seguridad presentan las principales distribuciones.

Para comenzar hemos de distinguir los modelos de paquete ². En las actuales distribuciones de Linux existen principalmente dos tipos de paquetes los .deb (usados en las distribuciónes Debian, Progeny, StormLinux y CorelLinux) y los .rpm (usados en RedHat,Suse, Mandrake, Esware, etcétera ), cada uno de ellos intentan mantener la seguridad y la integridad del software con unas determinadas medidas.

Los paquetes .deb:

• Firmado con claves PGP (GPG) de los paquetes con código fuente. Con esta medida se aseguran que un desarrollador cuya llave PGP está puesta publicamente, ha desarrollado ese paquete.

• Futuro firmado con PGP (GPG) los paquetes binarios. El nuevo dpkg permitirá realizar la misma comprobación de firmado que con los paquetes fuente.

• Sumas MD5 para los ficheros. Con estas sumas MD5, podremos comprobar que el contenido de los paquetes es el mismo que cuando se realizo la suma de modo que el programa de instalación alertará si existe algun cambio entre lo que instalamos y las sumas que acompañan al paquete.

• ISOS firmadas con PGP (GPG). El firmado de imagenes iso en una distribución que se difunde por internet como es Debian es sumamente interesante de cara a la seguridad ya que podremos asegurarnos quien ha desarrollado la iso que vamos a instalar ( por ejemplo "woody-secured" ).

• FTP con actualizaciones de seguridad. En este ftp solo residirán los paquetes que corrigen un fallo de seguridad, de modo que si actualizamos la distribución de este ftp, corregiremos todos sus fallos de seguridad. Un ejemplo: ( ftp://security.debian.org ).

• Informes de todos los fallos en listas de correo y webs. Con esta medida, se propicia el hecho de que cualquiera pueda enterarse del error y por tanto intentar corregirlo. Es la manera más rápida de que aparezca un parche ante un fallo de seguridad. Como ejemplos de esta caraceterística estan la lista de correo de anuncios de seguridad en la distribución Debian ( debian-security-announce@debian.org ) o el seguimiento de problemas de seguridad en la web de la distribución Progeny.

Los paquetes .rpm:

• Firmado de todos los paquetes con PGP. El sistema de paquetes rpm firma todos sus paquetes sin distinción, para ello incorpora los parametros -sign, -resign y -addsign en su programa gestor, que permite firmar, "refirmar" y añadir nuevas firmas.

• Sumas MD5 de todos los ficheros a manejar. Con el mismo proposito de las firmas MD5 en .deb: comprobar la integridad del fichero, para ello el sistema rpm guarda tres MD5: el del primer fichero que se instalo, el del fichero actual y el del fichero de un hipotético paquete de actualización. Este sistema también es usado en los sistemas rpm para comprobar las actualizaciones.

• Informes de todos los fallos en listas de correo y webs. Vemos que esto es una constante en sistemas Linux en cualquiera de sus distribuciones. Algunos de los sitios de anuncio de fallos de seguridad de las diversas distribuciones que usan el sistema rpm:
  • http://www.suse.com/us/support/security/index.html (SuSe)
  • http://www.linux-mandrake.com/en/security/ (Mandrake)
  • http://bugzilla.redhat.com/bugzilla/ (RedHat)

Vemos que, en ambos sistemas, la preocupación por la procedencia e integridad del software está patente, de modo que minimizamos el riesgo de obtener paquetes de software especialmente modificado para que realicen algo que no deseamos en nuestros sistemas. Podemos notar también que todos los sistemas de seguridad del total de las distribuciones, se basan en dar a conocer los fallos cuanto antes para que cualquiera pueda ponerles remedio solventándolos con mucha rapidez.