Protexa o seu servidor doméstico contra ataques externos.

Hoxe, dareiche algúns consellos sobre como ter un servidor doméstico máis seguro (ou un pouco máis grande). Pero antes de que me desgarren vivo.

NADA É TOTALMENTE SEGURO

Con esta reserva ben definida, continúo.

Vou ir por partes e non vou explicar cada proceso con moito coidado. Só o mencionarei e aclararei unha ou outra pequena cousa, para que poidan ir a Google cunha idea máis clara do que están a buscar.

Antes e durante a instalación

  • É altamente recomendable que o servidor se instale o máis "mínimo" posible. Deste xeito evitamos que se executen servizos que nin sequera sabemos que están, nin para que serven. Isto garante que toda a configuración se execute soa.
  • Recoméndase que o servidor non se use como estación de traballo diaria. (Co cal estás lendo este post. Por exemplo)
  • Espero que o servidor non teña un contorno gráfico

Particionamento.

  • Recoméndase que as carpetas que usa o usuario como "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /" se asignen a unha partición diferente á do sistema.
  • Os cartafoles críticos como "/ var / log" (onde se gardan todos os rexistros do sistema) colócanse nunha partición diferente.
  • Agora, dependendo do tipo de servidor, se por exemplo é un servidor de correo. Cartafol "/var/mail e / ou /var/spool/mail»Debería ser unha partición separada.

Contrasinal.

Non é ningún segredo para ninguén que o contrasinal dos usuarios do sistema e / ou outro tipo de servizos que os usen debe ser seguro.

As recomendacións son:

  • Que non contén: O teu nome, o nome da túa mascota, o nome dos familiares, as datas especiais, os lugares, etc. En conclusión. O contrasinal non debe ter nada relacionado con vostede, nin nada que o rodea nin a súa vida diaria, nin debe ter nada relacionado coa propia conta.  exemplo: twitter # 123.
  • O contrasinal tamén debe cumprir parámetros como: Combinar maiúsculas, minúsculas, números e caracteres especiais.  exemplo: DiAFsd · $ 354 ″

Despois de instalar o sistema

  • É algo persoal. Pero gústame eliminar o usuario ROOT e asignarlle todos os privilexios a outro usuario, polo que evito ataques a ese usuario. Sendo moi común.
O ficheiro / etc / sudoers debe ser editado. Alí engadimos ao usuario que queremos ser ROOT e despois eliminamos o noso antigo Super User (ROOT)
  • É moi práctico subscribirse a unha lista de correo onde se anuncian erros de seguridade da distribución que usa. Ademais de blogs, bugzilla ou outras instancias que poden avisalo de posibles erros.
  • Como sempre, recoméndase unha actualización constante do sistema e dos seus compoñentes.
  • Algunhas persoas tamén recomendan protexer Grub ou LILO e a nosa BIOS cun contrasinal.
  • Hai ferramentas como "chage" que permite que os usuarios se vexan obrigados a cambiar o seu contrasinal cada X veces, ademais do tempo mínimo que deben agardar para facelo e outras opcións.

Hai moitas formas de protexer o noso PC. Todo o anterior foi antes de instalar un servizo. E só mencionar algunhas cousas.

Hai manuais bastante extensos que paga a pena ler. para coñecer este inmenso mar de posibilidades. Co tempo aprenderás unha ou outra cousiña. E entenderás que sempre falta ... Sempre ...

Agora imos asegurar un pouco máis SERVIZOS. A miña primeira recomendación é sempre: «NON DEIXE AS CONFIGURACIÓNS DEFECTAS». Vaia sempre ao ficheiro de configuración do servizo, lea un pouco sobre o que fai cada parámetro e non o deixe como está instalado. Sempre trae problemas.

Non obstante:

SSH (/ etc / ssh / sshd_config)

En SSH podemos facer moitas cousas para que non sexa tan doado violar.

Por exemplo:

-Non permita o inicio de sesión ROOT (no caso de que non o cambiou):

"PermitRootLogin no"

-Non deixe que os contrasinais estean en branco.

"PermitEmptyPasswords no"

-Cambia o porto onde escoita.

"Port 666oListenAddress 192.168.0.1:666"

-Autorizar só a determinados usuarios.

"AllowUsers alex ref me@somewhere"   O me @ nalgún lugar é forzar a ese usuario a conectarse sempre desde a mesma IP.

-Autorizar grupos específicos.

"AllowGroups wheel admin"

Consellos.

  • É bastante seguro e tamén case obrigatorio encadear aos usuarios de ssh a través de chroot.
  • Tamén pode desactivar a transferencia de ficheiros.
  • Limita o número de intentos de inicio de sesión errados.

Ferramentas case esenciais.

Fail2ban: Esta ferramenta que está en repos, permítenos limitar o número de accesos a moitos tipos de servizos "ftp, ssh, apache ... etc", prohibindo a ip que exceda o límite de intentos.

Endurecedores: Son ferramentas que nos permiten "endurecer" ou mellor armar a nosa instalación con cortalumes e / ou outras instancias. Entre eles "Harden e Bastille Linux«

Detectores de intrusións: Hai moitas NIDS, HIDS e outras ferramentas que nos permiten previr e protexernos dos ataques, mediante rexistros e alertas. Entre moitas outras ferramentas. Existe "OSSEC«

En conclusión. Non se trataba dun manual de seguridade, senón que eran unha serie de elementos a ter en conta para ter un servidor bastante seguro.

Como consello persoal. Lea moito sobre como ver e analizar os LOGS e convertémonos en algúns nerds de Iptables. Ademais, canto máis software está instalado no servidor, máis vulnerable se fai, por exemplo, un CMS debe estar ben xestionado, actualizándoo e mirando ben que tipo de complementos engadimos.

Máis tarde quero enviar unha publicación sobre como garantir algo específico. Alí se podo dar máis detalles e facer a práctica.


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

8 comentarios, deixa os teus

Deixa o teu comentario

Enderezo de correo electrónico non será publicado.

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.

  1.   Elynx dixo

    Gardado nos favoritos.

    Saúdos!

  2.   Iván Barra dixo

    Consellos excelentes, bueno, o ano pasado instalei nunha "LÍNEA AÉREA NACIONAL importante" varios sistemas de seguridade e control e sorprendeume ao saber que a pesar das varias decenas de millóns de dólares en equipos (SUN Solaris, Red Hat, VM WARE , Windows Server, Oracle DB, etc.), seguridade NADA.

    Eu usei Nagios, Nagvis, Centreon PNP4Nagios, Nessus e OSSEC, o contrasinal de root era coñecemento público, ben, nun ano limpouse todo o que pagou a pena gañar moito diñeiro, pero tamén moita experiencia neste tipo de cousas. Nunca está de máis ter en conta todo o que acaba de explicar.

    Saúdos.

  3.   Blaire pascal dixo

    Bo. Directo aos meus favoritos.

  4.   guzman6001 dixo

    Estupendo artigo ... <3

  5.   Juan Ignacio dixo

    Che, para a próxima podes seguir explicando como usar osec ou outras ferramentas. Moi ben o post! Máis, por favor!

    1.    Iván Barra dixo

      En febreiro, para as miñas vacacións, quero cooperar cun post de Nagios e ferramentas de control.

      Saúdos.

  6.   koratsuki dixo

    Bo artigo, tiña pensado só arranxar o meu PC para escribir un tilin máis completo, pero adiantáchesme xD. Boa contribución!

  7.   Arturo Molina dixo

    Tamén me gustaría ver unha publicación dedicada aos detectores de intrusos. Así engádoo aos favoritos.