Los servidores Linux han tenido usos específicos durante mucho tiempo. Hay que ser consciente de que el nivel de protección de un servidor Linux nuevo es excepcionalmente bajo por defecto. Esto es para expandir la funcionalidad y la competencia tanto como sea posible durante la instalación. En consecuencia, es esencial llevar a cabo algunos procedimientos de hardening fundamentales antes de instalar el servidor en un entorno de producción.
En este artículo, revisaremos y discutiremos en profundidad 5 consejos fundamentales de hardening que todos y cada uno de los servidores Linux, independientemente de su función, deben seguir. Para reducir un vector de ataque, es crucial tener en cuenta que estos pasos son las mejores prácticas, y se debe crear una estrategia de protección personalizada para el servidor en función de su objetivo, entorno, versión, etc., a fin de lograr una capacidad de defensa del servidor que sea eficaz.
Los 5 consejos esenciales de hardening para un servidor Linux más seguro y protegido son:
- Establecer un nuevo usuario sudo
- Configurar unfirewall o cortafuegos
- Configurar e instalar el cortafuegos fail2ban
- Configurar el SSH
- Automatizar el hardening de Linux habilitando SELinux
Consejo 1: Establecer un nuevo usuario sudo
Para instalar y configurar el servidor, el administrador del sistema operativo Linux posee privilegios totales. Para disminuir la posibilidad de que los piratas informáticos exploten el acceso y los privilegios de este usuario, este no debe utilizarse para realizar tareas rutinarias del servidor. En cambio, se debe establecer un nuevo usuario y otorgarle los derechos necesarios para llevar a cabo las operaciones estándar del servidor. Solo algunos administradores podrán utilizar este usuario sudo .
El comando:
# adduser sam
( referirse a Sam como su nombre de usuario)
Se requerirá una contraseña. Introduzca una contraseña fuerte y larga . El nuevo usuario del servidor debe agregarse al grupo de sudoers porque requerirá acceso de nivel raíz para realizar tareas administrativas:
# usermod -aG sudo tom
Consejo 2: Configurar un firewall o cortafuegos
Por lo general, los firewalls están preinstalados en aquellos servidores Linux que deben activarse manualmente. El siguiente comando se puede usar para habilitar los firewalls ufw que usan los servidores de Ubuntu:
# ufw enable
Consejo 3: Configurar e instalar el firewall fail2ban
Con el fin de evitar el tráfico entrante y saliente de una red no autorizado al servidor, el cortafuegos Fail2ban es la opción más útil. Esta aplicación de análisis de registros vigila los registros del sistema en busca de signos de un ataque orquestado en su Linode .
Fail2ban implementa una nueva política para iptables usando parámetros definidos que restringen la dirección IP del atacante por un período de tiempo predeterminado o de manera irrevocable cuando se descubre actividad maliciosa. Los usuarios pueden recibir notificaciones de Fail2ban por correo electrónico si se está produciendo un ataque de este tipo. Este firewall de terceros debe implementarse individualmente, y luego después de la instalación se puede configurar para evitar varios tipos de tráfico HTTP, SSH y FTP no deseado realizando las modificaciones necesarias en el archivo / etc /fail2ban/ jail.local
# nano / etc /fail2ban/ jail.local
Consejo 4: Configurar el SSH
Los servidores Linux llegan de fabricante con servicios SH. El Secure Shell o Secure Socket Shell (SSH) es quien experimenta la mayoría de los ataques externos y, por ende, su seguridad es de suma importancia. Se pueden cambiar numerosas configuraciones para mejorar la seguridad, pero se recomienda comenzar por aquí:
- El puerto 22 es el puerto SSH está Se recomienda modificar las configuraciones predeterminadas porque es sabido que el puerto 22 contiene una serie de vulnerabilidades.
- Es esencial asegurarse de que el SSH no pueda acceder a la cuenta raí Para esto, el siguiente comando puede ayudar:
PermitRootLog no
- En este tipo de servidores se debe instalar un sistema de autenticación basado en claves, para así aumentar su seguridad al reemplazar el sistema tradicional de autenticación basado en contraseñas . Todo esto se puede configurar desde / etc / ssh / sshd_config
- Permita algunos usuarios específicos:
AllowUsers [Username]
Cuando un usuario intenta configurar el SSH, es solo el comienzo; de hecho, pues es mucho más lo que un usuario puede hacer. Algunas empresas, por ejemplo, incluyen banners para alejar a los agresores y evitar que avancen.
Debe asegurarse de que los siguientes parámetros adicionales estén presentes en el archivo ” sshd config”:
Protocol2
IgnoreRhosts to yes
HostbasedAuthentication no
PermitEmptyPasswords no
X11Forwarding no
MaxAuthTries 5
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
ClientAliveInterval 900
ClientAliveCountMax 0
UsePAM yes
Finalmente, asegúrese de que solo los usuarios raíz tengan acceso al archivo de configuración sshd configurando sus permisos en:
#chown root:root /etc/ssh/sshd_config
#chmod 600 /etc/ssh/sshd_config
Para entender completamente todas las configuraciones en este archivo, un usuario puede consultar la documentación de SSH para obtener orientación adicional, ya que este documento contiene instrucciones detalladas e información sobre varios temas.
Insertar URL: https://www.calcomsoftware.com/which-tls-version-is-obsolete/
Consejo 5: Automatizar el hardening de Linux habilitando SELinux
El mecanismo de seguridad del kernel conocido como Security-Enhanced Linux ( SELinux ) admite una política de seguridad de control de acceso. El SELinux se puede configurar de tres maneras:
- Deshabilitado: Apagado
- Imprimiendo precauciones:Permisivo
- La política está siendo confirmada por la aplicación
Para emplear este sistema, el usuario necesita abrir el archivo de configuración usando un editor de texto:
#nano /etc/SELinux/config
Además, es esencial asegurarse de que la política se cumpla:
SELINUX=enforcing
Insertar URL https://www.calcomsoftware.com/windows-10-most-critical-vulnerabilities-in-2022/
Automatización del hardening de Linux
El uso de herramientas de hardening manual no es práctico cuando se trata de una infraestructura de un servidor cuyo tamaño sea de tres dígitos o más. Como resultado, muchas empresas ignoran el trabajo de hardening debido a los recursos que se deben utilizar y aceptan el riesgo de interrupciones en la producción. Sin embargo, las herramientas de hardening automatizado son imprescindibles para cualquier proyecto de hardening debido a que las reglas se vuelven más estrictas con respecto a los requisitos de hardening y al hecho de que éste puede prevenir la mayoría de las técnicas de ataque.
Antes de la implementación, se deben evaluar rigurosamente los efectos de cualquier actividad de hardening en un servidor Linux. Desafortunadamente, este proceso de prueba requiere mucho tiempo y es especialmente difícil en un entorno organizacional con tantas interconexiones.
Al automatizar el proceso de hardening de un servidor Linux usando una herramienta como CalCom's Automated Server Hardening, el proceso engorroso puede completarse para cada servidor en aproximadamente cinco minutos, en lugar de cinco horas. Además, gracias a la automatización, el usuario no experimentaría ningún tiempo de inactividad durante el hardening.
