From 1f02d0e702ed4290743155f10952b8f743d61e7b Mon Sep 17 00:00:00 2001 From: maxigas Date: Thu, 11 Apr 2013 19:23:39 +0200 Subject: small change --- best_practices_es.mdwn | 56 +++++++++++++++++++++++++------------------------- 1 file changed, 28 insertions(+), 28 deletions(-) diff --git a/best_practices_es.mdwn b/best_practices_es.mdwn index 25faa62..3a3e7b3 100644 --- a/best_practices_es.mdwn +++ b/best_practices_es.mdwn @@ -1,40 +1,39 @@ # Best Practises Workshop 3. April 2013 -## Correo electronico +# Correo electronico: Exim -### Exim +## Nivel 1 -#### Nivel 1 +### [StartTLS-exim](http://aland.burngreave.net/archives/2009/12/30/index.html#e2009-12-30T16_26_.txt) starttls (funciona con otros servidores compatibles), verificacin de certificados (con/contra?) cacert/ -##### [StartTLS-exim](http://aland.burngreave.net/archives/2009/12/30/index.html#e2009-12-30T16_26_.txt) starttls (funciona con otros servidores compatibles), verificacin de certificados (con/contra?) cacert/ - -### Si el servidor registra la direccin IP de cualquier usuaria que enve un correo a travs de su servicio en cualquier lugar del correo, la usuaria es informada acerca de ello. +### Si el servidor registra la direccin IP de cualquier usuaria que enve un correo a travs de su servicio en cualquier lugar del correo, la usuaria es informada acerca de ello. ### Las conexiones entre las personas usuarias y el servidor estan siempre encriptadas. ### Utiliza StartTLS para intercambiar correos con otros servidores siempre que sea posible. -## El servidor tiene que contar con su propio certificado SSL firmado por uno o varias autoridades certificadas. Para ms detalles mirate el documento de buenas practicas. -#### Nivel 2 +### El servidor tiene que contar con su propio certificado SSL firmado por uno o varias autoridades certificadas. Para ms detalles mirate el documento de buenas practicas. + +## Nivel 2 -##### [StartTLS-exim](http://aland.burngreave.net/archives/2009/12/30/index.html#e2009-12-30T16_26_49.txt) Se requiere TLS para los servidores compatibles, certificados verificados con fingerprints (huellas digitales). +### [StartTLS-exim](http://aland.burngreave.net/archives/2009/12/30/index.html#e2009-12-30T16_26_49.txt) Se requiere TLS para los servidores compatibles, certificados verificados con fingerprints (huellas digitales). -### Postfix +# Correo electronico: Postfix -#### Nivell 1 +## Nivell 1 -##### Si el servidor aade/registra la direccin IP de cualquiera persona usuaria enviando un correo a travs de su servicio en cualquier lugar del correo, la usuaria es informada acerca de ello. +### Si el servidor aade/registra la direccin IP de cualquiera persona usuaria enviando un correo a travs de su servicio en cualquier lugar del correo, la usuaria es informada acerca de ello. No se trata de un tema de configuracin: Deberas usar tus canales de comunicacin transmitir informacin a tu base de usuarias (por ejemplo un boletn de noticias, lista de correo para difusin). Nuevas usuarias deberan ser informadascomo parte del proceso de registro. Puedes adicionalmente explicarlo en tu pagina web. -##### Las conexiones entre las usuarias y el servidor siempre estan encriptadas. +### Las conexiones entre las usuarias y el servidor siempre estan encriptadas. * Del lado servidor: [Configura Postfix para usar el certificado X.509](http://koti.kapsi.fi/ptk/postfix/postfix-tls-cacert.shtml) recuperada el 3 de Abril de 2013 * Del lado cliente: Pregunta amablemente a tu proveedor la documentacin :) -##### Utiliza StartTLS para intercambiar correos con otros servidores siempre que sea posible. +### Utiliza StartTLS para intercambiar correos con otros servidores siempre que sea posible. -## El servidor tiene que contar con su propio certificado X.509 firmado por una o varias entidades certificadoras. +### El servidor tiene que contar con su propio certificado X.509 firmado por una o varias entidades certificadoras. Existen varios problemas con el ecosistema X.509, estos son parcialmente descritos [aqui](http://lair.fifthhorseman.net/~dkg/tls-centralization/) @@ -48,13 +47,13 @@ c. **Certificados auto firmados / Autoridad propia**: No vienen instalados por d d. **Monkeysphere**: Puedes usar llaves libres PGP (certificaciones) para autentificar. Esta es una execelente solucin a nivel tecnico, aunque no es soportada por el software mas popular. Si cuentas con usuarias potentes, te recomendamos intentar usarla. Puedes encontrar ms informacin [aqui](http://monkeysphere.info/) -### Nivel 2 +## Nivel 2 -#### El servidor no aade la direccin de lxs usuarixs que envian correos a traves del servidor en ninguna parte del correo. +### El servidor no aade la direccin de lxs usuarixs que envian correos a traves del servidor en ninguna parte del correo. * [IPs en los headers](https://we.riseup.net/debian/mail#postfix) -#### Se requiere TLS para servidores compatibles tambin con nivel 2. Los certificados se verifican con la huella (fingerprint). +### Se requiere TLS para servidores compatibles tambin con nivel 2. Los certificados se verifican con la huella (fingerprint). Una solucin equivalente seria implemenar una unin IPsec entre colectivos reelevantes que hace innecesario el uso de TLS. @@ -62,17 +61,17 @@ Para poder implementar esto, debes tener al da los fingerprints de los certifica * [Postfix TLS README](http://www.postfix.org/TLS_README.html ) -### Nivel 3 +## Nivel 3 -#### El correo esta tambin disponible como un sevicio Tor oculto. +### El correo esta tambin disponible como un sevicio Tor oculto. [Torproject: Tor Hidden Service documentation]https://www.torproject.org/docs/tor-hidden-service.html.en → adaptado a las necesidades del servidor de correo. **Cliente**: [torbirdy](https://trac.torproject.org/projects/tor/wiki/torbirdy) es una extensin de Thunderbird para poder usar algunos servicios ocultos. -## Sistema de ficheros y almacenamiento +# Sistema de ficheros y almacenamiento -### Nivel 1 +## Nivel 1 * Los datos de lxs usuarixs que no son de acceso pblico se guardan encriptados, usando una contrasea fuerte. Mira en los documentos de buenas prcticas para ms detalles. Esto incluye correos, bases de datos, listas de archivos, sitios webs restringidos y otros.. @@ -81,22 +80,23 @@ En GNU/Linux, cryptsetup: * Como configurar un sistema de ficheros en unos pocos pasos http://www.debian-administration.org/articles/469 * Configurar un sistema Debian encryptado. http://madduck.net/docs/cryptdisk/ -### Nivel 2 +## Nivel 2 -* La Swap se guarda encriptada. +### La Swap se guarda encriptada. Para esto puedes tambin puedes usar "said cryptsetup". -* El sistema operativo y la configuracin se guarda con una contrasea fuerte de encriptacion . Mira en los documentos de mejores prcticas para ms detalles. +### El sistema operativo y la configuracin se guarda con una contrasea fuerte de encriptacion . Mira en los documentos de mejores prcticas para ms detalles. Hoy en dia se pueden usar diferentes instaladores "OS" que logran esto: El instalador modo texto alternativo de Ubuntu? No confiar en discos duros que promueven encriptacion en la ("disklayer") capa del disco, a menudo no estan bien implementados o vienen, por ejemplo con puertas traseras -### Nivel 3 +## Nivel 3 + +### La Swap esta encriptada con una llave nueva cada vez que se inicia la mquina -* La Swap esta encriptada con una llave nueva cada vez que se inicia la mquina -* Crear una area swap encriptada: +Crear una area swap encriptada: + [Microhowto:Create an encrypted ways area](http://www.microhowto.info/howto/create_an_encrypted_swap_area.html) + [Riseup: Encrypted Swap](https://we.riseup.net/debian/encrypted-swap) + [Crypttab manual](http://linux.die.net/man/5/crypttab) -> ir a seccin "swap" -- cgit v1.2.3