Cómo endurecer la seguridad de Ubuntu Server 16.04 en cinco pasos

    Cómo endurecer la seguridad de Ubuntu Server 16.04 en cinco pasos

    Si está listo para llevar la seguridad de su servidor Ubuntu al siguiente nivel, lea estos cinco consejos rápidos.

    Usted tiene ese nuevo y brillante Ubuntu 16.04 LTS Server funcionando. La instalación fue mucho más fácil de lo que esperaba, y está listo para disfrutar de toda la increíble seguridad que viene con Linux.

    En realidad, hay mucho más que puede hacer para lograr un nivel adecuado de seguridad para sus datos. La buena noticia es que es bastante fácil de endurecer su servidor Ubuntu 16.04. Vea cómo cinco pasos rápidos resultarán en considerables ganancias de seguridad.

    VER: Cómo Mark Shuttleworth se convirtió en el primer africano en el espacio y lanzó una revolución de software (ConsejoTecnologico.com PDF download)

    1: Memoria compartida segura

    La memoria compartida se puede utilizar en un ataque contra un servicio en ejecución, por lo que siempre es mejor proteger esa parte de la memoria. Puede hacerlo modificando el fichero /etc/fstab.

    Primero, debe abrir el archivo para editarlo emitiendo el comando:

    sudo nano /etc/fstab

    A continuación, agregue la siguiente línea al final de ese archivo:

    tmpfs /run/shm tmpfs default,noexec,nosuid 0 0 0

    Guarde y cierre el archivo. Para que los cambios surtan efecto, debe reiniciar el servidor.

    2: Habilitar ssh login para usuarios específicos

    Probablemente pasará una buena cantidad de tiempo asegurando el shelling en ese servidor Ubuntu. Debido a que tendrá que entrar en ese servidor a través de ssh, no querrá dejarlo abierto de par en par.

    Una cosa que debe hacer es habilitar ssh login para usuarios específicos. Supongamos que sólo desea permitir la entrada de shell segura para el usuario olivia, desde la dirección IP 192.168.1.152. Así es como lo harías.

    1. Abra una ventana de terminal.
    2. Abra el archivo ssh config para editarlo con el comando sudo nano /etc/ssh/sshd_config.
    3. En la parte inferior del archivo, agregue la línea AllowUsers olivia@192.168.1.152.
    4. Guarde y cierre el archivo.
    5. Reinicie sshd con el comando sudo service ssh restart.

    En este punto, secure shell sólo permitirá la entrada del usuario olivia, desde la dirección IP 192.168.1.152. Si alguien que no sea olivia intenta entrar en el servidor, se le pedirá una contraseña, pero la contraseña no será aceptada (incluso si es correcta), y la entrada será denegada.

    Usted puede modificar esto para que se ajuste a sus necesidades. Supongamos que desea permitir que todos los usuarios de su red puedan acceder al servidor a través de ssh. Usted agregaría la siguiente línea:

    PermitirUsuarios *@192.168.1.*

    Reinicie el servidor ssh, y ya está listo.

    3: Agregar un banner de seguridad de inicio de sesión

    Más información sobre ciberseguridad

    Agregar un banner de inicio de sesión de seguridad puede parecer como si no tuviera ningún efecto en su servidor, pero si un usuario no deseado obtiene acceso a su servidor, y si ve que usted se ha tomado el tiempo para configurar un banner de inicio de sesión advirtiéndole de las consecuencias, es posible que se lo piensen dos veces antes de continuar. Sí, es puramente psicológico, pero es un paso tan fácil que no debería pasarse por alto. Aquí está cómo manejar esto.

    Crea tu nuevo banner siguiendo estos pasos.

    1. Abra una ventana de terminal.
    2. Emita el comando sudo nano /etc/issue.net.
    3. Edite el archivo para añadir una advertencia adecuada.
    4. Guarde y cierre el archivo.

    A continuación, tenemos que desactivar el mensaje del banner de Motd. Para ello debe abrir un terminal y ejecutar el comando sudo nano /etc/pam.d/sshd. Con este archivo abierto para edición, comente las siguientes dos líneas (agregando un # al principio de cada línea):

    sesión opcional pam_motd.so motd=/run/motd.dynamic sesión opcional pam_motd.so noupdate

    Ahora abra /etc/ssh/sshd_config en su editor de texto favorito y comente la línea:

    Banner /etc/issue.net

    Guarde y cierre ese archivo.

    Finalmente, reinicie el servidor ssh con el comando:

    sudo service ssh reiniciar

    En este punto, cada vez que alguien inicie sesión en tu servidor, a través de ssh, verá tu banner recién añadido en pantalla para advertirles de que lo estás viendo.

    4: Endurecer la capa de red

    Hay una manera muy simple de prevenir el enrutamiento de los paquetes entrantes (y registrar todas las IPs malformadas) en su servidor Ubuntu. Abra una ventana de terminal, emita el comando sudo nano /etc/sysctl.conf, y descomente o añada las siguientes líneas:

    # IP Spoofing protectionnet.ipv4.conf.all.rp_filter = 1net.ipv4.conf.default.rp_filter = 1# Ignorar solicitudes de difusión ICMPnet.ipv4.icmp_echo_ignore_broadcasts = 1# Desactivar enrutamiento de paquetes fuente.ipv4.conf.all.accept_source_route = 0net.ipv6.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0net.ipv6.conf.default.accept_source_route = 0# Ignorar redirigir redirigir.ipv4.conf.all.send_redirects = 0net.ipv4.conf.default.send_redirects = 0# Bloquear SYN attacksnet.ipv4.tcp_syncookies = 1net.ipv4.tcp_max_syn_backlog = 2048net.ipv4.tcp_synack_retries = 2net.ipv4.tcp_syn_retries = 5# Log Martiansnet.ipv4.conf.all.log_martians = 1net.ipv4.icmp_ignore_bogus_error_responses = 1# Ignorar ICMP redirectsnet.ipv4.conf.all.accept_redirects = 0net.ipv6.conf.all.accept_redirects = 0net.ipv4.conf.default.accept_redirects = 0 net.ipv6.conf.default.accept_redirects = 0# Ignorar pingsnet Dirigido.ipv4.icmp_echo_ignore_all = 1

    Guarde y cierre el archivo, y luego reinicie el servicio con el comando sudo sysctl -p.

    5: Evitar el spoofing de IP

    Este es muy sencillo y servirá para evitar que la IP de su servidor sea falsificada. Abra una ventana de terminal y ejecute el comando sudo nano /etc/host.conf. Con este archivo abierto para edición, se verá como:

    # La línea "order" sólo se utiliza en las versiones antiguas de la librería C.order hosts,bindmulti on

    Cambie el contenido de este archivo a:

    # La línea "order" sólo se utiliza en las versiones antiguas de la biblioteca C.order bind, hostsnospoof on

    Guarde y cierre ese archivo. ¡Viola! No más falsificación de IP.

    Más formas de proteger su servidor

    Sólo hemos arañado la superficie de endurecimiento de su servidor Ubuntu 16.04, pero estos cinco consejos le proporcionarán una actualización significativa de la seguridad de su servidor. Exploraremos este tema pronto y continuaremos con la práctica de bloquear la plataforma de Ubuntu Server.

    Boletín Semanal de Código Abierto

    No se pierda nuestros consejos, tutoriales y comentarios sobre el sistema operativo Linux y las aplicaciones de código abierto. Entregado los martes

    Artículos relacionados

    Cómo un hospital del Reino Unido movilizó a su junta directiva con Huddle para iPad
    Cómo instalar osTicket en Ubuntu 16.04
    Los directores ejecutivos tienen un problema con la verdad: cómo pueden ayudar los científicos de da...
    Cómo configurar un dispositivo Gitstorage para la colaboración interna de código
    Cómo FSMLabs está tratando de mejorar la calidad de la distribución del tiempo

    Enviar comentario

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *