Asegurar su(s) servidor (s) Linux es una tarea difícil y lenta para los administradores de sistemas, pero es necesario endurecer la seguridad del servidor para mantenerlo a salvo de Atacantes y Hackers de Sombrero Negro. Puede proteger su servidor configurando el sistema correctamente e instalando el menor número posible de softwares. Hay algunos consejos que pueden ayudarlo a proteger su servidor de ataques de escalada de privilegios y de red.
- Actualice su núcleo
- Deshabilitar trabajos Cron raíz
- Reglas estrictas de firewall
- Deshabilitar servicios innecesarios
- Comprobar si hay puertas traseras y Rootkits
- Comprobar Puertos de escucha
- Use un IDS (Sistema de pruebas de intrusión)
- Deshabilitar el registro como Root
- Eliminar archivos sin propietario
- Use SSH y sFTP
- Monitorear registros
- Desinstale Softwares no utilizados
- Conlusion
Actualice su núcleo
El núcleo obsoleto siempre es propenso a varios ataques de escalada de privilegios y de red. Así que puede actualizar su núcleo usando apt en Debian o yum en Fedora.
$ sudo apt-get update
sud sudo apt-get dist-upgrade
sud sudo apt-get dist-upgrade
Deshabilitar trabajos Cron raíz
Los trabajos Cron que se ejecutan por cuenta de root o de privilegios altos se pueden usar como una forma de obtener privilegios altos por parte de los atacantes. Puedes ver cómo ejecutar trabajos cron por
$ ls / etc / cron*
Reglas estrictas de firewall
Debe bloquear cualquier conexión entrante o saliente innecesaria en puertos poco comunes. Puede actualizar las reglas de los cortafuegos utilizando iptables. Iptables es una utilidad muy flexible y fácil de usar que se utiliza para bloquear o permitir el tráfico entrante o saliente. Para instalar, escriba
$ sudo apt-get install iptables
Aquí hay un ejemplo para bloquear la entrada en el puerto FTP utilizando iptables
$ iptables-A INPUT-p tcp d dport ftp-j DROP
Deshabilitar servicios innecesarios
Detener cualquier servicio y demonio no deseado que se ejecute en su sistema. Puede enumerar los servicios en ejecución mediante los siguientes comandos.
:~ service service status status-all
acpid
alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
avahi-daemon
binfmt-support
bluetooth
cgroupfs-mount
…snip…
acpid
alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
avahi-daemon
binfmt-support
bluetooth
cgroupfs-mount
…snip…
O usando el siguiente comando
$ chkconfig –list | grep ‘3:on’
Para detener un servicio, escriba
$ parada de servicio sudo
O
$ sudo systemctl stop
Comprobar si hay puertas traseras y Rootkits
Utilidades como rkhunter y chkrootkit se pueden usar para detectar puertas traseras y rootkits conocidos y desconocidos. Verifican los paquetes y configuraciones instalados para verificar la seguridad del sistema. Para instalar escribir,
:~$ sudo apt-get install rkhunter-y
Para escanear su sistema, escriba
:~$ sudo rkhunter check comprobar
Comprobar comandos del sistema…
Realizar comprobaciones de comandos de ‘cadenas’
Comprobar el comando de ‘cadenas’
Realizar comprobaciones de ‘bibliotecas compartidas’
Comprobar las variables precargadas
Comprobar las bibliotecas precargadas
Comprobar la variable LD_LIBRARY_PATH
Realizar comprobaciones de propiedades de archivos
Comprobar los requisitos previos
/usr/sbin/adduser
/usr/sbin/chroot
…snip…
Comprobar Puertos de escucha
Debe comprobar si hay puertos de escucha que no se utilizan y deshabilitarlos. Para comprobar si hay puertos abiertos, escriba.
:~ sud sudo netstat-ulpnt
Conexiones activas de Internet (solo servidores)
Proto Recv-Q Send-Q Dirección local Estado de dirección extranjera PID/Nombre del programa
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 2136/redis-server 1
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1273/rpcbind
tcp 0 0 127.0.0.1:5939 0.0.0.0:* LISTEN 2989/teamviewerd
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 1287/systemd-resolv
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1939/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 20042/cupsd
tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN 1887/postgres
tcp 0 0 0.0.0.0:25 0.0.0.0:* ESCUCHAR 31259 / maestro
…snip…
Conexiones activas de Internet (solo servidores)
Proto Recv-Q Send-Q Dirección local Estado de dirección extranjera PID/Nombre del programa
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 2136/redis-server 1
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1273/rpcbind
tcp 0 0 127.0.0.1:5939 0.0.0.0:* LISTEN 2989/teamviewerd
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 1287/systemd-resolv
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1939/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 20042/cupsd
tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN 1887/postgres
tcp 0 0 0.0.0.0:25 0.0.0.0:* ESCUCHAR 31259 / maestro
…snip…
Use un IDS (Sistema de pruebas de intrusión)
Use un IDS para verificar los registros de red y evitar actividades maliciosas. Hay un Snort de ID de código abierto disponible para Linux. Puede instalarlo,
$ wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
$ wget https://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
$ tar xvzf daq-2.0.6.alquitrán.gz
cd cd daq-2.0.6
$ ./ configure & & make & & sudo make install
tar tar xvzf snort-2.9.12.alquitrán.gz
cd cd snort-2.9.12
$ ./ configure enable enable-sourcefire & & make & & sudo make install
$ wget https://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
$ tar xvzf daq-2.0.6.alquitrán.gz
cd cd daq-2.0.6
$ ./ configure & & make & & sudo make install
tar tar xvzf snort-2.9.12.alquitrán.gz
cd cd snort-2.9.12
$ ./ configure enable enable-sourcefire & & make & & sudo make install
Para supervisar el tráfico de red, escriba
:~$ sudo snort
Corriendo en modo de volcado de paquetes
= = = Inicialización de Snort = = Plugins
Inicialización de plugins de salida!
DAQ de pcap configurado en pasivo.
Adquiriendo tráfico de red de «tun0».
Decodificación de IP4 Raw
— = = Inicialización completa = = …snip…
Corriendo en modo de volcado de paquetes
= = = Inicialización de Snort = = Plugins
Inicialización de plugins de salida!
DAQ de pcap configurado en pasivo.
Adquiriendo tráfico de red de «tun0».
Decodificación de IP4 Raw
— = = Inicialización completa = = …snip…
Deshabilitar el registro como Root
Root actúa como un usuario con privilegios completos, tiene poder para hacer cualquier cosa con el sistema. En su lugar, debe aplicar el uso de sudo para ejecutar comandos administrativos.
Eliminar archivos sin propietario
Los archivos que no pertenecen a ningún usuario o grupo pueden ser una amenaza para la seguridad. Debe buscar estos archivos y eliminarlos o asignarles un grupo de usuarios adecuado. Para buscar estos archivos, escriba
$ find / dir-xdev \ (- nouser-o-nogroup\) – print
Use SSH y sFTP
Para la transferencia de archivos y la administración remota, use SSH y sFTP en lugar de telnet y otros protocolos inseguros, abiertos y sin cifrar. Para instalar, escriba
$ sudo apt-get install vsftpd-y
sud sudo apt-get install openssh-server-y
sud sudo apt-get install openssh-server-y
Monitorear registros
Instale y configure una utilidad de analizador de registros para verificar los registros del sistema y los datos de eventos regularmente para evitar cualquier actividad sospechosa. Tipo
$ sudo apt-get install-y loganalyzer
Desinstale Softwares no utilizados
Instale softwares lo menos posible para mantener una superficie de ataque pequeña. Cuantos más software tenga, más posibilidades de ataques tendrá. Por lo tanto, elimine cualquier software innecesario de su sistema. Para ver los paquetes instalados, escribir
$ dpkg –list
$ dpkg –info
$ apt-get list
$ dpkg –info
$ apt-get list
Para eliminar un paquete
$ sudo apt-get remove-y
$ sudo apt-get clean
$ sudo apt-get clean
Conlusion
Linux servidor de endurecimiento de la seguridad es muy importante para las empresas y los negocios. Es una tarea difícil y tediosa para los administradores de sistemas. Algunos procesos pueden ser automatizados por algunas utilidades automatizadas como SELinux y otros softwares similares. Además, mantener los softwares minimus y deshabilitar los servicios y puertos no utilizados reduce la superficie de ataque.
