LFCA Consejos de seguridad básicos para proteger el sistema Linux - Parte 17

Ahora más que nunca, estamos viviendo en un mundo donde las organizaciones son constantemente bombardeadas por violaciones de seguridad motivadas por la adquisición de datos altamente sensibles y confidenciales que son muy valiosos y es una gran recompensa financiera.

Es bastante sorprendente que, a pesar de tener un alto riesgo de sufrir un ataque cibernético potencialmente devastador, la mayoría de las empresas no están bien preparadas o simplemente pasan por alto las banderas rojas, a menudo con consecuencias devastadoras.

En 2016, Equifax sufrió una violación de datos catastróficos donde se robaron millones de registros de clientes altamente confidenciales después de una serie de lapsos de seguridad. Un informe detallado indicó que el incumplimiento era prevenible si el equipo de seguridad implementara las medidas de seguridad correctas en Equifax.

De hecho, meses antes de la violación, Equifax fue advertido sobre una potencial vulnerabilidad en su portal web que comprometería su seguridad, pero lamentablemente, la advertencia no fue escuchada con graves consecuencias. Muchas otras grandes corporaciones han sido víctimas de los ataques, que continúan creciendo en complejidad con cada momento que pasa.

No podemos estresar lo suficiente cuán crucial es la seguridad de su sistema Linux. Es posible que no sea una institución financiera de alto perfil que sea un objetivo potencial para las violaciones, pero eso no significa que deba bajar la guardia.

La seguridad debe estar en la parte superior de su mente al configurar su servidor Linux, especialmente si se conectará a Internet y se accede de forma remota. Tener habilidades de seguridad básicas es esencial para salvaguardar su servidor Linux.

En esta guía, nos centramos en algunas de las medidas de seguridad básicas que puede tomar para proteger su sistema de intrusos.

Vectores de ataque cibernético

Los intrusos explotarán una variedad de técnicas de ataque para acceder a su servidor Linux. Antes de sumergirnos en algunas de las medidas que puede tomar para salvaguardar su sistema, explotemos algunos de los vectores de ataque comunes que un hacker puede usar para infiltrarse en los sistemas.

1. Ataques de fuerza bruta

A fuerza bruta El ataque es un ataque donde el hacker usa prueba y error para adivinar las credenciales de inicio de sesión del usuario. Por lo general, el intruso utilizará scripts automatizados para obtener continuamente la entrada hasta que se obtenga la combinación correcta del nombre de usuario y la contraseña. Este tipo de ataque es más efectivo donde se utilizan contraseñas débiles y fácilmente adivinables.

2. Credenciales débiles

Como se aludió antes, credenciales débiles tales como contraseñas cortas y fácilmente adivinables como contraseña1234 representar un riesgo potencial para su sistema. Cuanto más corta y menos compleja sea una contraseña, mayores serán las posibilidades de que su sistema se vea comprometido.

3. Suplantación de identidad

Suplantación de identidad es una técnica de ingeniería social en la que el atacante envía a la víctima un correo electrónico que parece provenir de una institución legítima o de alguien con quien conoce o haga negocios.

Por lo general, el correo electrónico contiene instrucciones que solicitan a la víctima que divulgue información confidencial o puede contener un enlace que los dirige a un sitio falso que se plantea como el sitio de la compañía. Una vez que la víctima intenta iniciar sesión, sus credenciales son capturadas por el atacante.

4. Malware

Malware es la abreviatura de software malicioso. Abarca una amplia gama de aplicaciones nefastas como virus, troyanos, gusanos y ransomware que están diseñados para propagarse rápidamente y mantener el sistema de la víctima a cambio de un rescate de un rescate.

Tales ataques pueden ser debilitantes y pueden paralizar el negocio de una organización. Algunos malware se pueden inyectar en documentos como imágenes, videos, palabras o documentos de PowerPoint y empaquetado en un correo electrónico de phishing.

5. Ataques de denegación de servicio (DOS)

A Dos El ataque es un ataque que limita o afecta la disponibilidad de un servidor o sistema informático. El hacker inunda el servidor con paquetes de tráfico o ping que hacen que el servidor sea inaccesible para los usuarios para duraciones prolongadas.

A Ddos (Negación de servicio distribuida) Attack es un tipo de DOS que emplea múltiples sistemas que inundan un objetivo con el tráfico que no lo está disponible.

6. Ataque de inyección SQL

Un acrónimo para lenguaje de consulta estructurado, Sql es un idioma utilizado para comunicarse con bases de datos. Permite a los usuarios crear, eliminar y actualizar registros en la base de datos. Muchos servidores almacenan datos en bases de datos relacionales que usan SQL para interactuar con la base de datos.

Un ataque de inyección de SQL aprovecha una vulnerabilidad SQL conocida que hace que el servidor divulga la información de la base de datos confidencial que de otra manera no lo haría al inyectar un código SQL malicioso. Esto plantea un riesgo enorme si la base de datos almacena información de identificación personal, como números de tarjetas de crédito, números de seguro social y contraseñas.

7. Hombre-into-ataca

Comúnmente abreviado como Mitm, el ataque de hombre en el medio involucra a un atacante que intercepta información entre dos puntos con el objetivo de escuchar o modificar el tráfico entre las dos partes. El objetivo es espiar a la víctima, corromper los datos o robar información confidencial.

Consejos básicos para asegurar su servidor Linux

Habiendo analizado las posibles puertas de enlace que un atacante puede usar para violar su sistema, repasemos algunas de las medidas fundamentales que puede tomar para salvaguardar su sistema.

1. Seguridad física

Sin embargo, no se piensa mucho en la ubicación física y la seguridad de su servidor.

Es importante asegurarse de que su servidor esté seguro de forma segura en un centro de datos con potencia de copia de seguridad, conectividad redundante a Internet y suficiente enfriamiento. El acceso al centro de datos debe limitarse solo al personal autorizado.

2. Actualice los repositorios y paquetes de su sistema

Una vez que el servidor está configurado, el primer paso a seguir es actualizar los repositorios y los paquetes de software de la aplicación de la siguiente manera. Actualización del paquete parches cualquier lagunda que pueda presentarse en las versiones existentes de aplicaciones.

Para Ubuntu / Debian distribuciones:

$ sudo apt actualización -y $ sudo apt actualización -y 

Para Rhel / Cento distribuciones:

$ sudo yum actualización -y 

3. Habilitar un firewall

A cortafuegos es una solicitud que filtra el tráfico entrante y saliente. Debe instalar un firewall robusto como el firewall de UFW y permitirle que solo permita los servicios requeridos y sus puertos correspondientes.

Por ejemplo, puede instalarlo en Ubuntu Usando el comando:

$ sudo apt install UFW 

Una vez instalado, habilítelo de la siguiente manera:

$ sudo UFW Enable 

Para permitir un servicio como Https, ejecutar el comando;

$ sudo UFW Permitir https 

Alternativamente, puede permitir su puerto correspondiente que es 443.

$ sudo UFW Permitir 443/TCP 

Luego recargar los cambios para entrar en vigencia.

$ sudo ufw recargar 

Para verificar el estado de su firewall, incluidos los servicios permitidos y los puertos abiertos, ejecutar

$ sudo UFW estado 

4. Apague los servicios/puertos innecesarios

Además, considere desactivar los servicios y puertos no utilizados o innecesarios en el firewall. Tener múltiples puertos que no se usan solo aumenta el paisaje de ataque.

5. Protocolo SSH seguro

La configuración SSH predeterminada no es segura y, por lo tanto, se requieren algunos ajustes. Asegúrese de hacer cumplir la siguiente configuración:

• Deshabilite el usuario root desde el inicio de sesión remoto.
• Habilite la autenticación SSH sin contraseña utilizando las claves públicas/privadas SSH.

Para el primer punto, edite el /etc/ssh/sshd_config archivo y modificar los siguientes parámetros para aparecer como se muestra.

Permitrootlogin no 

Una vez que deshabilite al usuario root de iniciar sesión de forma remota, cree un usuario regular y asigne privilegios de sudo. Por ejemplo.

$ SUDO ADDUSER USUARIO $ SUDO USERMOD -AG SUDO USUARIO 

Para habilitar la autenticación sin contraseña, primero diríjase a otra PC de Linux: preferiblemente su PC y genere un par de claves SSH.

$ ssh-keygen 

Luego copie la clave pública a su servidor

$ ssh-copy-id [correo electrónico protegido] 

Una vez iniciado sesión, asegúrese de deshabilitar la autenticación de contraseña editando el /etc/ssh/sshd_config archivo y modificación del parámetro que se muestra.

Contraseña Autenticación no 

Tenga cuidado de no perder su clave privada SSH, ya que esa es la única vía que puede usar para iniciar sesión. Manténgalo a salvo y preferiblemente retroceda en la nube.

Finalmente, reinicie SSH para efectuar los cambios

$ sudo systemctl reiniciar sshd 

Resumen

En un mundo con amenazas cibernéticas en evolución, la seguridad debe ser una alta prioridad a medida que se embarca en configurar su servidor de Linux. En esta guía, hemos resaltado algunas de las medidas de seguridad básicas que puede tomar para fortalecer su servidor. En el siguiente tema, profundizaremos y veremos pasos adicionales que puede tomar para endurecer su servidor.