Protexa o seu servidor doméstico contra ataques externos.

@Jlcmux | | GNU / Linux, Redes / Servidores

8 Comentarios

Hoxe, dareiche algúns consellos sobre como ter un servidor doméstico máis seguro (ou un pouco máis grande). Pero antes de que me desgarren vivo.

NADA É TOTALMENTE SEGURO

Con esta reserva ben definida, continúo.

Vou ir por partes e non vou explicar cada proceso con moito coidado. Só o mencionarei e aclararei unha ou outra pequena cousa, para que poidan ir a Google cunha idea máis clara do que están a buscar.

Antes e durante a instalación

  • É altamente recomendable que o servidor se instale o máis "mínimo" posible. Deste xeito evitamos que se executen servizos que nin sequera sabemos que están, nin para que serven. Isto garante que toda a configuración se execute soa.
  • Recoméndase que o servidor non se use como estación de traballo diaria. (Co cal estás lendo este post. Por exemplo)
  • Espero que o servidor non teña un contorno gráfico

Particionamento.

  • Recoméndase que as carpetas que usa o usuario como "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /" se asignen a unha partición diferente á do sistema.
  • Os cartafoles críticos como "/ var / log" (onde se gardan todos os rexistros do sistema) colócanse nunha partición diferente.
  • Agora, dependendo do tipo de servidor, se por exemplo é un servidor de correo. Cartafol "/var/mail e / ou /var/spool/mail»Debería ser unha partición separada.

Contrasinal.

Non é ningún segredo para ninguén que o contrasinal dos usuarios do sistema e / ou outro tipo de servizos que os usen debe ser seguro.

As recomendacións son:

  • Que non contén: O teu nome, o nome da túa mascota, o nome dos familiares, as datas especiais, os lugares, etc. En conclusión. O contrasinal non debe ter nada relacionado con vostede, nin nada que o rodea nin a súa vida diaria, nin debe ter nada relacionado coa propia conta.  exemplo: twitter # 123.
  • O contrasinal tamén debe cumprir parámetros como: Combinar maiúsculas, minúsculas, números e caracteres especiais.  exemplo: DiAFsd · $ 354 ″

Despois de instalar o sistema

  • É algo persoal. Pero gústame eliminar o usuario ROOT e asignarlle todos os privilexios a outro usuario, polo que evito ataques a ese usuario. Sendo moi común.
O ficheiro / etc / sudoers debe ser editado. Alí engadimos ao usuario que queremos ser ROOT e despois eliminamos o noso antigo Super User (ROOT)
  • É moi práctico subscribirse a unha lista de correo onde se anuncian erros de seguridade da distribución que usa. Ademais de blogs, bugzilla ou outras instancias que poden avisalo de posibles erros.
  • Como sempre, recoméndase unha actualización constante do sistema e dos seus compoñentes.
  • Algunhas persoas tamén recomendan protexer Grub ou LILO e a nosa BIOS cun contrasinal.
  • Hai ferramentas como "chage" que permite que os usuarios se vexan obrigados a cambiar o seu contrasinal cada X veces, ademais do tempo mínimo que deben agardar para facelo e outras opcións.

Hai moitas formas de protexer o noso PC. Todo o anterior foi antes de instalar un servizo. E só mencionar algunhas cousas.

Hai manuais bastante extensos que paga a pena ler. para coñecer este inmenso mar de posibilidades. Co tempo aprenderás unha ou outra cousiña. E entenderás que sempre falta ... Sempre ...

Agora imos asegurar un pouco máis SERVIZOS. A miña primeira recomendación é sempre: «NON DEIXE AS CONFIGURACIÓNS DEFECTAS». Vaia sempre ao ficheiro de configuración do servizo, lea un pouco sobre o que fai cada parámetro e non o deixe como está instalado. Sempre trae problemas.

Non obstante:

SSH (/ etc / ssh / sshd_config)

En SSH podemos facer moitas cousas para que non sexa tan doado violar.

Por exemplo:

-Non permita o inicio de sesión ROOT (no caso de que non o cambiou):

"PermitRootLogin no"

-Non deixe que os contrasinais estean en branco.

"PermitEmptyPasswords no"

-Cambia o porto onde escoita.

"Port 666oListenAddress 192.168.0.1:666"

-Autorizar só a determinados usuarios.

"AllowUsers alex ref me@somewhere"   O me @ nalgún lugar é forzar a ese usuario a conectarse sempre desde a mesma IP.

-Autorizar grupos específicos.

"AllowGroups wheel admin"

Consellos.

  • É bastante seguro e tamén case obrigatorio encadear aos usuarios de ssh a través de chroot.
  • Tamén pode desactivar a transferencia de ficheiros.
  • Limita o número de intentos de inicio de sesión errados.

Ferramentas case esenciais.

Fail2ban: Esta ferramenta que está en repos, permítenos limitar o número de accesos a moitos tipos de servizos "ftp, ssh, apache ... etc", prohibindo a ip que exceda o límite de intentos.

Endurecedores: Son ferramentas que nos permiten "endurecer" ou mellor armar a nosa instalación con cortalumes e / ou outras instancias. Entre eles "Harden e Bastille Linux«

Detectores de intrusións: Hai moitas NIDS, HIDS e outras ferramentas que nos permiten previr e protexernos dos ataques, mediante rexistros e alertas. Entre moitas outras ferramentas. Existe "OSSEC«

En conclusión. Non se trataba dun manual de seguridade, senón que eran unha serie de elementos a ter en conta para ter un servidor bastante seguro.

Como consello persoal. Lea moito sobre como ver e analizar os LOGS e convertémonos en algúns nerds de Iptables. Ademais, canto máis software está instalado no servidor, máis vulnerable se fai, por exemplo, un CMS debe estar ben xestionado, actualizándoo e mirando ben que tipo de complementos engadimos.

Máis tarde quero enviar unha publicación sobre como garantir algo específico. Alí se podo dar máis detalles e facer a práctica.


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

8 comentarios, deixa os teus

Deixa o teu comentario

Enderezo de correo electrónico non será publicado.

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.

  1.   Elynx dixo
    atrás Anos 9

    Gardado nos favoritos.

    Saúdos!

    Responde a Elynx
  2.   Iván Barra dixo
    atrás Anos 9

    Consellos excelentes, bueno, o ano pasado instalei nunha "LÍNEA AÉREA NACIONAL importante" varios sistemas de seguridade e control e sorprendeume ao saber que a pesar das varias decenas de millóns de dólares en equipos (SUN Solaris, Red Hat, VM WARE , Windows Server, Oracle DB, etc.), seguridade NADA.

    Eu usei Nagios, Nagvis, Centreon PNP4Nagios, Nessus e OSSEC, o contrasinal de root era coñecemento público, ben, nun ano limpouse todo o que pagou a pena gañar moito diñeiro, pero tamén moita experiencia neste tipo de cousas. Nunca está de máis ter en conta todo o que acaba de explicar.

    Saúdos.

    Resposta a Iván Barra
  3.   Blaire pascal dixo
    atrás Anos 9

    Bo. Directo aos meus favoritos.

    Resposta a Blaire Pascal
  4.   guzman6001 dixo
    atrás Anos 9

    Estupendo artigo ... <3

    Responde a guzman6001
  5.   Juan Ignacio dixo
    atrás Anos 9

    Che, para a próxima podes seguir explicando como usar osec ou outras ferramentas. Moi ben o post! Máis, por favor!

    Resposta a Juan Ignacio
    1.    Iván Barra dixo
      atrás Anos 9

      En febreiro, para as miñas vacacións, quero cooperar cun post de Nagios e ferramentas de control.

      Saúdos.

      Resposta a Iván Barra
  6.   koratsuki dixo
    atrás Anos 9

    Bo artigo, tiña pensado só arranxar o meu PC para escribir un tilin máis completo, pero adiantáchesme xD. Boa contribución!

    Responde a Koratsuki
  7.   Arturo Molina dixo
    atrás Anos 9

    Tamén me gustaría ver unha publicación dedicada aos detectores de intrusos. Así engádoo aos favoritos.

    Resposta a Arturo Molina