# Best Practises *(de Policy workshop 3. April, 2013)* Traducciónes: [[Inglés|best practices]] [[Portugués|best practices pt]] # Correo electronico: Exim ## Nivel 1 … ## Nivel 2 ### Se requiere TLS para los servidores compatibles, certificados verificados con fingerprints (huellas digitales). * [StartTLS-exim](http://aland.burngreave.net/archives/2009/12/30/index.html#e2009-12-30T16_26_49.txt) # Correo electronico: Postfix ## Nivell 1 ### Si el servidor aade/registra la direccin IP de cualquiera persona usuaria enviando un correo a travs de su servicio en cualquier lugar del correo, la usuaria es informada acerca de ello. No se trata de un tema de configuracin: Deberas usar tus canales de comunicacin transmitir informacin a tu base de usuarias (por ejemplo un boletn de noticias, lista de correo para difusin). Nuevas usuarias deberan ser informadascomo parte del proceso de registro. Puedes adicionalmente explicarlo en tu pagina web. ### Las conexiones entre las usuarias y el servidor siempre estan encriptadas. * Del lado servidor: [Configura Postfix para usar el certificado X.509](http://koti.kapsi.fi/ptk/postfix/postfix-tls-cacert.shtml) recuperada el 3 de Abril de 2013 * Del lado cliente: Pregunta amablemente a tu proveedor la documentacin :) ### Utiliza StartTLS para intercambiar correos con otros servidores siempre que sea posible. ### El servidor tiene que contar con su propio certificado X.509 firmado por una o varias entidades certificadoras. Existen varios problemas con el ecosistema X.509, estos son parcialmente descritos [aqui](http://lair.fifthhorseman.net/~dkg/tls-centralization/) Dependiendo de cuanto vuestras usuarias entienden de certificados X.509, recomendamos 4 scenarios dieferentes: a. **Autoridad certificadora comercial**: generalmente cuesta dinero pero las usuarias no se confunden porque sus clientes de correo no vienen acompaados de certificados raiz comercial, de esta manera no habrn mas mensajes acerca de cadenas de certificados no confiables. No aumenta necesariamente la seguridad si el adversario puede generar certificaods porque una entidad certificadora se ha vuelto por ejemplo corrupta o es directamente un estado. Para ms detalles lean [X.509 en wikipedia](https://es.wikipedia.org/wiki/X.509). b. **CaCert**: Las usuarias deben instalar y validar certificados raz de CaCert'sporque no vienen incluidos en ningn cliente de correo. Pero al ser un certificado comn puede que ya venga instalado en otros servicios. Tambin existe un paquete debian que hace facil a las usuarias de Debian/ubuntu instalarselo. c. **Certificados auto firmados / Autoridad propia**: No vienen instalados por defecto en los clientes de correo de las usuarias. Tienen que instalar certificados raiz. Si no usan certificado pinning (?) y tienen otras autoridades certificadoras comerciales instaladas solo se generar confusin. Puede que fomentes que las usuarias no lean los mensajes de seguridad. Si correctamente utilizado por su grupo de crypto-ninjas, "puede" resultar ms seguro. d. **Monkeysphere**: Puedes usar llaves libres PGP (certificaciones) para autentificar. Esta es una execelente solucin a nivel tecnico, aunque no es soportada por el software mas popular. Si cuentas con usuarias potentes, te recomendamos intentar usarla. Puedes encontrar ms informacin [aqui](http://monkeysphere.info/) ## Nivel 2 ### El servidor no aade la direccin de lxs usuarixs que envian correos a traves del servidor en ninguna parte del correo. * [IPs en los headers](https://we.riseup.net/debian/mail#postfix) ### Se requiere TLS para servidores compatibles tambin con nivel 2. Los certificados se verifican con la huella (fingerprint). Una solucin equivalente seria implemenar una unin IPsec entre colectivos reelevantes que hace innecesario el uso de TLS. Para poder implementar esto, debes tener al da los fingerprints de los certificados de los grupos con los que quieres cooperar. Hay muchas formas de hacer esto, pero depende muchsimo del contexto tcnico y social, as que no las detallaremos aqu ms all decomentar que es unrequerimiento. Mantener una lista de estos fingerprints, verificar las conexiones y actualizarlos cuando cambian puede ser engorroso (hasta que alguien implemente un protocolo automatizado y seguro para este propsito). * [Postfix TLS README](http://www.postfix.org/TLS_README.html ) ## Nivel 3 ### El correo esta tambin disponible como un sevicio Tor oculto. [Torproject: Tor Hidden Service documentation]https://www.torproject.org/docs/tor-hidden-service.html.en → adaptado a las necesidades del servidor de correo. **Cliente**: [torbirdy](https://trac.torproject.org/projects/tor/wiki/torbirdy) es una extensin de Thunderbird para poder usar algunos servicios ocultos. # Sistema de ficheros y almacenamiento ## Nivel 1 * Los datos de lxs usuarixs que no son de acceso pblico se guardan encriptados, usando una contrasea fuerte. Mira en los documentos de buenas prcticas para ms detalles. Esto incluye correos, bases de datos, listas de archivos, sitios webs restringidos y otros.. En GNU/Linux, cryptsetup: * Como configurar un sistema de ficheros en unos pocos pasos http://www.debian-administration.org/articles/469 * Configurar un sistema Debian encryptado. http://madduck.net/docs/cryptdisk/ ## Nivel 2 ### La Swap se guarda encriptada. Para esto puedes tambin puedes usar "said cryptsetup". ### El sistema operativo y la configuracin se guarda con una contrasea fuerte de encriptacion . Mira en los documentos de mejores prcticas para ms detalles. Hoy en dia se pueden usar diferentes instaladores "OS" que logran esto: El instalador modo texto alternativo de Ubuntu? No confiar en discos duros que promueven encriptacion en la ("disklayer") capa del disco, a menudo no estan bien implementados o vienen, por ejemplo con puertas traseras ## Nivel 3 ### La Swap esta encriptada con una llave nueva cada vez que se inicia la mquina Crear una area swap encriptada: + [Microhowto:Create an encrypted ways area](http://www.microhowto.info/howto/create_an_encrypted_swap_area.html) + [Riseup: Encrypted Swap](https://we.riseup.net/debian/encrypted-swap) + [Crypttab manual](http://linux.die.net/man/5/crypttab) -> ir a seccin "swap"