LFCA - Consejos útiles para asegurar datos y Linux - Parte 18

Desde su lanzamiento a principios de los noventa, Linux ha ganado la admiración de la comunidad tecnológica gracias a su estabilidad, versatilidad, personalización y una gran comunidad de desarrolladores de código abierto que trabajan las 24 horas para proporcionar correcciones de errores y mejoras a la Sistema operativo. En general, Linux es el sistema operativo elegido para la nube pública, los servidores y las supercomputadoras, y cerca del 75% de los servidores de producción orientados a Internet en Linux.

Además de impulsar Internet, Linux ha llegado al mundo digital y no ha disminuido desde entonces. Alimenta una amplia gama de dispositivos inteligentes que incluyen teléfonos inteligentes Android, tabletas, relojes inteligentes, pantallas inteligentes y muchos más.

Es linux eso seguro?

Linux es reconocido por su seguridad de alto nivel y es una de las razones por las que es una opción favorita en entornos empresariales. Pero aquí hay un hecho, ningún sistema operativo es 100% seguro. Muchos usuarios creen que Linux es un sistema operativo infalible, que es una suposición falsa. De hecho, cualquier sistema operativo con conexión a Internet es susceptible a posibles infracciones y ataques de malware.

Durante sus primeros años, Linux tuvo un grupo demográfico mucho más pequeño centrado en la tecnología y el riesgo de sufrir ataques de malware era remoto. Hoy en día, Linux impulsa una gran parte de Internet, y esto ha impulsado el crecimiento del panorama de amenazas. La amenaza de los ataques de malware es más real que nunca.

Un ejemplo perfecto de un ataque de malware en los sistemas Linux es el Ransomware erebus, Un malware de cifrado de archivos que afectó a los 153 servidores Linux de Nayana, una empresa de alojamiento web de Corea del Sur.

Por esta razón, es prudente endurecer aún más el sistema operativo para brindarle la seguridad muy deseada para salvaguardar sus datos.

Consejos de endurecimiento del servidor Linux

Asegurar su servidor de Linux no es tan complicado como podría pensar. Hemos compilado una lista de las mejores políticas de seguridad que necesita implementar para fortalecer la seguridad de su sistema y mantener la integridad de los datos.

1. Actualizar los paquetes de software regularmente

En las etapas iniciales de la violación de Equifax, los hackers aprovecharon una vulnerabilidad muy conocida - APOCHE STRUS - En el portal web de quejas de clientes de Equifax.

APOCHE STRUS es un marco de código abierto para crear aplicaciones web Java modernas y elegantes desarrolladas por la Fundación Apache. La Fundación lanzó un parche para arreglar la vulnerabilidad el 7 de marzo de 2017, y emitió una declaración a ese sentido.

Se notificó a Equifax de la vulnerabilidad y se les aconsejó que repare su aplicación, pero lamentablemente, la vulnerabilidad permaneció sin parpadear hasta julio del mismo año en el que fue demasiado tarde. Los atacantes pudieron obtener acceso a la red de la compañía y exfiltrarse a millones de registros confidenciales de clientes de las bases de datos. Cuando Equifax se enteró de lo que estaba sucediendo, ya habían pasado dos meses.

Entonces, qué podemos aprender de esto?

Los usuarios o piratas informáticos maliciosos siempre sondearán a su servidor para posibles vulnerabilidades de software que luego pueden aprovechar para violar su sistema. Para estar seguro, actualice siempre su software a sus versiones actuales para aplicar parches a cualquier vulnerabilidad existente.

Si estas corriendo Ubuntu o sistemas basados ​​en Debian, el primer paso suele actualizar sus listas de paquetes o repositorios como se muestra.

$ sudo apt actualización 

Para verificar todos los paquetes con actualizaciones disponibles, ejecute el comando:

$ sudo apt list -actualizable 

La actualización de sus aplicaciones de software a sus versiones actuales como se muestra:

$ sudo apt actualización 

Puede concatenar estos dos en un comando como se muestra.

$ sudo apt actualización && sudo apt actualización 

Para Rhel Y Cento Actualice sus aplicaciones ejecutando el comando:

$ sudo DNF Actualización (Centos 8 / Rhel 8) $ sudo yum actualización (versiones anteriores de Rhel & Centos) 

Otra opción viable es habilitar actualizaciones de seguridad automáticas para Ubuntu y también configurar actualizaciones automáticas para CentOS / RHEL.

2. Eliminar los servicios/protocolos de comunicación heredada

A pesar de su apoyo a una miríada de protocolos remotos, los servicios heredados como Rlogin, Telnet, TFTP y FTP pueden plantear grandes problemas de seguridad para su sistema. Estos son protocolos viejos, anticuados e inseguros donde los datos se envían en texto plano. Si estos existen, considere eliminarlos como se muestra.

Para sistemas basados ​​en Ubuntu / Debian, ejecute:

$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server 

Para Rhel / Cento-Sistemas basados, ejecutar:

$ sudo yum borrado xinetd tftp-server telnet-server rsh-server YPSERV 

3. Cerrar puertos no utilizados en el firewall

Una vez que haya eliminado todos los servicios inseguros, es importante escanear su servidor en busca de puertos abiertos y cerrar los puertos no utilizados que puedan ser utilizados un punto de entrada por los hackers.

Supongamos que desea bloquear el puerto 7070 en el firewall de UFW. El comando para esto será:

$ sudo UFW Deny 7070/TCP 

Luego recargar el firewall para que los cambios entren en vigencia.

$ sudo ufw recargar 

Para Firewalld, ejecute el comando:

$ sudo firewall-cmd--remove-puerto = 7070/tcp --Permanent 

Y recuerda recargar el firewall.

$ sudo firewall-cmd--Reload 

Luego verifique las reglas del firewall como se muestra:

$ sudo firewall-cmd --list-thol 

4. Protocolo SSH seguro

El protocolo SSH es un protocolo remoto que le permite conectarse de forma segura a los dispositivos en una red. Si bien se considera seguro, la configuración predeterminada no es suficiente y se requieren algunos ajustes adicionales para disuadir aún más a los usuarios maliciosos de violar su sistema.

Tenemos una guía completa sobre cómo endurecer el protocolo SSH. Aquí están los principales aspectos destacados.

• Configurar la autenticación sin contraseña de SSH SSH.
• Desactivar el inicio de sesión de la raíz remota SSH.
• Deshabilite los inicios de sesión de SSH de los usuarios con contraseñas vacías.
• Desactivar la autenticación de contraseña por completo y seguir con la autenticación de clave privada/pública de SSH.
• Limite el acceso a usuarios específicos de SSH.
• Configurar un límite para los intentos de contraseña.

5. Instalar y habilitar fail2ban

Fail2ban es un sistema de prevención de intrusos de código abierto que salvaguarda su servidor de los ataques de Bruteforce. Protege su sistema Linux prohibiendo IP que indican actividades maliciosas, como demasiados intentos de inicio de sesión. Fuera de la caja, se envía con filtros para servicios populares como Apache Webserver, VSFTPD y SSH.

Tenemos una guía sobre cómo configurar Fail2ban para fortalecer aún más el protocolo SSH.

6. Hacer cumplir la fuerza de la contraseña utilizando el módulo PAM

Reutilizar contraseñas o usar contraseñas débiles y simples socava en gran medida la seguridad de su sistema. Usted hace cumplir una política de contraseña, usa el pam_cracklib para establecer o configurar los requisitos de resistencia a la contraseña.

Usando el módulo PAM, puede definir la resistencia de la contraseña editando el /etc/pam.D/System-Auth archivo. Por ejemplo, puede establecer la complejidad de la contraseña y evitar la reutilización de contraseñas.

7. Instale un certificado SSL/TLS

Si está ejecutando un sitio web, siempre asegúrese de asegurar su dominio utilizando un certificado SSL/ TLS para cifrar datos intercambiados entre el navegador de los usuarios y el servidor web.

8. Deshabilitar protocolos de cifrado débiles y claves de cifrado

Una vez que cifre su sitio, considere también deshabilitar los protocolos de cifrado débiles. Al momento de escribir esta guía, el último protocolo es TLS 1.3, que es el protocolo más común y ampliamente utilizado. Versiones anteriores como TLS 1.0, TLS 1.2, y SSLV1 a SSLV3 se han asociado con vulnerabilidades conocidas.

[También le puede gustar: Cómo habilitar TLS 1.3 en Apache y Nginx]

Terminando

Ese fue un resumen de algunos de los pasos que puede seguir para garantizar la seguridad de los datos y la privacidad de su sistema Linux.