Si está listo para llevar la seguridad de su servidor Ubuntu al siguiente nivel, lea estos cinco consejos rápidos.
Usted tiene ese nuevo y brillante Ubuntu 16.04 LTS Server funcionando. La instalación fue mucho más fácil de lo que esperaba, y está listo para disfrutar de toda la increíble seguridad que viene con Linux.
En realidad, hay mucho más que puede hacer para lograr un nivel adecuado de seguridad para sus datos. La buena noticia es que es bastante fácil de endurecer su servidor Ubuntu 16.04. Vea cómo cinco pasos rápidos resultarán en considerables ganancias de seguridad.
VER: Cómo Mark Shuttleworth se convirtió en el primer africano en el espacio y lanzó una revolución de software (ConsejoTecnologico.com PDF download)
1: Memoria compartida segura
La memoria compartida se puede utilizar en un ataque contra un servicio en ejecución, por lo que siempre es mejor proteger esa parte de la memoria. Puede hacerlo modificando el fichero /etc/fstab.
Primero, debe abrir el archivo para editarlo emitiendo el comando:
sudo nano /etc/fstab
A continuación, agregue la siguiente línea al final de ese archivo:
tmpfs /run/shm tmpfs default,noexec,nosuid 0 0 0
Guarde y cierre el archivo. Para que los cambios surtan efecto, debe reiniciar el servidor.
2: Habilitar ssh login para usuarios específicos
Probablemente pasará una buena cantidad de tiempo asegurando el shelling en ese servidor Ubuntu. Debido a que tendrá que entrar en ese servidor a través de ssh, no querrá dejarlo abierto de par en par.
Una cosa que debe hacer es habilitar ssh login para usuarios específicos. Supongamos que sólo desea permitir la entrada de shell segura para el usuario olivia, desde la dirección IP 192.168.1.152. Así es como lo harías.
- Abra una ventana de terminal.
- Abra el archivo ssh config para editarlo con el comando sudo nano /etc/ssh/sshd_config.
- En la parte inferior del archivo, agregue la línea AllowUsers olivia@192.168.1.152.
- Guarde y cierre el archivo.
- Reinicie sshd con el comando sudo service ssh restart.
En este punto, secure shell sólo permitirá la entrada del usuario olivia, desde la dirección IP 192.168.1.152. Si alguien que no sea olivia intenta entrar en el servidor, se le pedirá una contraseña, pero la contraseña no será aceptada (incluso si es correcta), y la entrada será denegada.
Usted puede modificar esto para que se ajuste a sus necesidades. Supongamos que desea permitir que todos los usuarios de su red puedan acceder al servidor a través de ssh. Usted agregaría la siguiente línea:
PermitirUsuarios *@192.168.1.*
Reinicie el servidor ssh, y ya está listo.
3: Agregar un banner de seguridad de inicio de sesión
Más información sobre ciberseguridad
Agregar un banner de inicio de sesión de seguridad puede parecer como si no tuviera ningún efecto en su servidor, pero si un usuario no deseado obtiene acceso a su servidor, y si ve que usted se ha tomado el tiempo para configurar un banner de inicio de sesión advirtiéndole de las consecuencias, es posible que se lo piensen dos veces antes de continuar. Sí, es puramente psicológico, pero es un paso tan fácil que no debería pasarse por alto. Aquí está cómo manejar esto.
Crea tu nuevo banner siguiendo estos pasos.
- Abra una ventana de terminal.
- Emita el comando sudo nano /etc/issue.net.
- Edite el archivo para añadir una advertencia adecuada.
- Guarde y cierre el archivo.
A continuación, tenemos que desactivar el mensaje del banner de Motd. Para ello debe abrir un terminal y ejecutar el comando sudo nano /etc/pam.d/sshd. Con este archivo abierto para edición, comente las siguientes dos líneas (agregando un # al principio de cada línea):
sesión opcional pam_motd.so motd=/run/motd.dynamic sesión opcional pam_motd.so noupdate
Ahora abra /etc/ssh/sshd_config en su editor de texto favorito y comente la línea:
Banner /etc/issue.net
Guarde y cierre ese archivo.
Finalmente, reinicie el servidor ssh con el comando:
sudo service ssh reiniciar
En este punto, cada vez que alguien inicie sesión en tu servidor, a través de ssh, verá tu banner recién añadido en pantalla para advertirles de que lo estás viendo.
4: Endurecer la capa de red
Hay una manera muy simple de prevenir el enrutamiento de los paquetes entrantes (y registrar todas las IPs malformadas) en su servidor Ubuntu. Abra una ventana de terminal, emita el comando sudo nano /etc/sysctl.conf, y descomente o añada las siguientes líneas:
# IP Spoofing protectionnet.ipv4.conf.all.rp_filter = 1net.ipv4.conf.default.rp_filter = 1# Ignorar solicitudes de difusión ICMPnet.ipv4.icmp_echo_ignore_broadcasts = 1# Desactivar enrutamiento de paquetes fuente.ipv4.conf.all.accept_source_route = 0net.ipv6.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0net.ipv6.conf.default.accept_source_route = 0# Ignorar redirigir redirigir.ipv4.conf.all.send_redirects = 0net.ipv4.conf.default.send_redirects = 0# Bloquear SYN attacksnet.ipv4.tcp_syncookies = 1net.ipv4.tcp_max_syn_backlog = 2048net.ipv4.tcp_synack_retries = 2net.ipv4.tcp_syn_retries = 5# Log Martiansnet.ipv4.conf.all.log_martians = 1net.ipv4.icmp_ignore_bogus_error_responses = 1# Ignorar ICMP redirectsnet.ipv4.conf.all.accept_redirects = 0net.ipv6.conf.all.accept_redirects = 0net.ipv4.conf.default.accept_redirects = 0 net.ipv6.conf.default.accept_redirects = 0# Ignorar pingsnet Dirigido.ipv4.icmp_echo_ignore_all = 1
Guarde y cierre el archivo, y luego reinicie el servicio con el comando sudo sysctl -p.
5: Evitar el spoofing de IP
Este es muy sencillo y servirá para evitar que la IP de su servidor sea falsificada. Abra una ventana de terminal y ejecute el comando sudo nano /etc/host.conf. Con este archivo abierto para edición, se verá como:
# La línea "order" sólo se utiliza en las versiones antiguas de la librería C.order hosts,bindmulti on
Cambie el contenido de este archivo a:
# La línea "order" sólo se utiliza en las versiones antiguas de la biblioteca C.order bind, hostsnospoof on
Guarde y cierre ese archivo. ¡Viola! No más falsificación de IP.
Más formas de proteger su servidor
Sólo hemos arañado la superficie de endurecimiento de su servidor Ubuntu 16.04, pero estos cinco consejos le proporcionarán una actualización significativa de la seguridad de su servidor. Exploraremos este tema pronto y continuaremos con la práctica de bloquear la plataforma de Ubuntu Server.
Boletín Semanal de Código Abierto
No se pierda nuestros consejos, tutoriales y comentarios sobre el sistema operativo Linux y las aplicaciones de código abierto. Entregado los martes