Hay dos cosas que no perdono a las personas que conozco. La primera es la ausencia de copia de seguridad, el segundo es la ignorancia por la seguridad. Si le interesa el tema de las copias de seguridad, tal vez podamos hablar de ello en otro momento. En esta ocasión vamos a hablar de seguridad
Voy a esbozar en el siguiente artículo con algunas de las mejores prácticas que he aprendido a lo largo de mi carrera profesional y que le ayudarán a hacer linux duro como
un ladrillo o a
endurecer su servidor Linux.
Al leer este artículo, sin embargo, sugiero también la lectura de
este artículo, ya que ambos tratan de abordar las mismas cuestiones. Creo que ambos artículos al final representan las mismas ideas en una forma distinta.
Todas las ideas ya están implementadas en SHK. Sugiero descargar SHK, revisar el código y usarlo.
Seguridad
¿Sabes lo que es seguro? - Un ladrillo.
Sí, pero un ladrillo no es funcional.
Cuando estoy tratando de construir un sistema seguro, estoy usando los mismos conceptos, como si quisiera asegurar mi casa.
Sí, una casa es funcional.
¿Dónde está la puerta de su casa?
¿Está la puerta de su casa en un lugar convenido? - Si entrar lo hace más fácil para usted, también lo estará haciendo para todos los demás.
Imagine que la puerta de su casa la coloca a 30 metros de ésta y usted tiene que quitar las hojas y las ramas sobre una puerta del piso, desbloquearlo, abrirlo, pasearse 30 metros hasta su casa, llegar y abrir la puerta principal de la casa, y sólo entonces usted estará en casa.
Apuesto a que tal entrada podría sorprenderle a cualquier ladrón potencial.
¿Cuál es tu puerta de acceso a su máquina?
Bien, si, es por lo general es SSH. Pero si se trata de telnet, rsh, o cualquier otro protocolo sin cifrar, vive en la década de 1970, por favor, actualicese usted mismo, junto con su corte de pelo.
SSH en el puerto 22 por lo general elimina mucho indeseable, ya sea contra los robots, o para niños, tratando de ver lo que hay dentro
No me cree? - Ejecutar:
# lastb
Verá a una lista de todos los intentos de conexión incorrecta que por lo general se intenta a través de SSH.
¿Cómo cavar la zanja de la casa e instalar la puerta del piso limpio? - Basta con mover SSH a un puerto diferente. Va a defenderse de la mayoría de los intentos de exploración.
Golpeando el puerto, se puede añadir un poco de seguridad extra, pero creo que tocar el puerto también requiere que usted camine con una barra de hierro sobre una base diaria - como de más o menos toque el puerto, significa que mantenedrá la puerta del piso atascada - y sólo la palanca correcta la abrirá.
¿Quién tiene la llave?
Con SSH trasladado a un puerto diferente, usted debe preguntarse si la puerta es realmente segura.
¿Es la contraseña de root fuerte? ¿seguro?
¿Y la de otros usuarios en el sistema? ¿Tienen una contraseña segura?
Cuando haya restablecido la contraseña de root debe ser muy fuerte, es hora de hacer cumplir SSH para permitir que sólo acceda el usuario root.
Esto significa más o menos que, incluso si usted le dio a su vecino la llave de su casa - con el fin de alimentar al gato - no será capaz de hacerlo. Sí, su gato pasará un poco de hambre, pero su casa quedará intacta y en la tienda de gatos por lo general encontrará una solución a la hora de la comida...
¿Y las ventanas?
Usted acaba de instalar una puerta súper segura, pero ¿qué pasa con las ventanas? ¿Ha dejado alguna de estas atrancada?
Una ventana redundante puede ser un servicio NFS que se ejecuta sin ninguna razón en absoluto en su servidor.
Por otro lado, una ventana podría ser un servicio HTTP, que se supone que es expuesto sólo internamente.
Es muy recomendable para eliminar de inmediato los servicios y paquetes que no utilice, y atranque esas ventanas.
Usted puede utilizar:
# netstat -pan | grep “\bLISTEN\b”
Esto le mostrará una lista de los servicios que están a la espera de conexiones.
Es decir, debe Instalar rejas en las ventanas, en otras palabras - el uso de un firewall. Si el servicio HTTP se supone que se utilizará sólo internamente - configure bien su firewall.
En términos generales, debería ser fácil para usted - como administrador del sistema - saber fácilmente qué puertos de un sistema se debe exponer el exterior. El resto de los puertos se deben bloquear.
¿Y cuando alguien ha entrado?
Si alguien se metió en su casa, incluso si es de noche -puede utilizar siempre una luz y recoger lo que quiera. Si alguien hackeó el sistema y tiene privilegios de usuario regular - por lo general va a ser muy fácil para él tener acceso de root.
Por lo tanto, no importa si inicia la sesión como un usuario normal y hace un
su - o
sudo para identificarse como root, que es lo mismo. Prefiero inicio de sesión como root y ningún otro usuario. (o no tener usuarios sudoers).
Asimismo, no se molestan en sacar utilidades para el día a día. Quiero que mis sistemas sean cómodos para mí. Estaré realmente molesto si la comodidad para mí significa comodidad también para los posibles atacantes. Una vez que llegaron a él, van a estar tan cómodos como en un sofá en la sala de estar.
Yo quiero el sofá de la sala de estar.
Bring It On!
Cierre con llave su casa - luego deje que tus amigos intenten hackearlo.
Las auditorías de seguridad son de gran valor y deben ser llevadas a cabo con bastante frecuencia. Ya sea por herramientas automáticas como Monitis, como por compañeros de trabajo.
Si usted nunca intenta hackear un sistema, nunca sabrá lo difícil que es para un atacante.
Cuando un sistema es seguro - es difícil también para que puedan hackearlo. Y si es difícil para usted -un atacante normalmente lo encontrará por lo menos el doble de duro, incluso si tiene experiencia.. Un atacante al azar tiene mucha menos información y el conocimiento de cómo funciona su sistema, en comparación con usted.
Una grieta en una pared
Las grietas en una pared pueden causar que toda la pared se derrumbe, haciendo que sus defensas inútiles.
Una grieta en la pared puede venir en forma de un anticuado servidor Apache
Otra grieta en la pared podría ser utilizar software de 3ª partes que no se auditan -, sino que debe exponerse al mundo exterior. Sea extremadamente cuidadoso con estas cosas.
El envío de la contraseña de root en los correos electrónicos de texto plano no se recomienda por las mismas razones.
Secuelas
¿Hackeado?
En la vida real no vamos a quemar una casa que fue asaltada, pero si es hackeado, evalue la situación. En el 99% de los casos le sugiero que volver a instalar la máquina. La razón de ello es que un atacante podría instalar numerosas puertas traseras y puede ser que le toma muchísimo tiempo encontrarlas.
Volver a instalar es un gran dolor de cabeza si su sistema no está configurado correctamente, o si usted no tiene copias de seguridad adecuadas.
Pero confíe en mí -a largo plazo, es muy recomendable para evitar problemas futuros.
¿Irrompible?
Si usted tiene una casa, la gente puede entrar en ella.
Confíe en mí, sin embargo, que por lo general, si usted ha decidido colocar la puerta en un lugar no trivial, el atacante casual / ladrón decidirá no molestarse, decidiendo ir a otra casa/servidor.
Lleve a cabo el resto de las defensas que se describen aquí.
Suena muy simplista, lo sé. Pero si hay algo irónico que he visto en la vida es una configuración de firewall súper-extra-completo en un sistema muy seguro, y un inicio de sesión admin/123456 que hizo que todo se derrumbara.
SHK
SHK le ayudará a hacer las tareas que han descrito a través de este artículo. Tareas tales como:
· Configuración del Firewall
· La alteración de la configuración de SSH
· Establecer los parámetros de sysctl
· Desactivación de los servicios
· Eliminación de paquetes
SHK está escrito exclusivamente en Bash y se supone que funciona en la mayoría de los sistemas de Red Hat y Debian.
La configuración por defecto es un poco indulgente, no dude en jugar con él todo lo que necesite.
SHK es gratis - Estaría más que feliz de recibir las aportaciones y sugerencias de mejora.
Linux Party Group