Introducción al Endurecimiento de la Seguridad de los Servidores Linux

Asegurar su(s) servidor (s) Linux es una tarea difícil y lenta para los administradores de sistemas, pero es necesario endurecer la seguridad del servidor para mantenerlo a salvo de Atacantes y Hackers de Sombrero Negro. Puede proteger su servidor configurando el sistema correctamente e instalando el menor número posible de softwares. Hay algunos consejos que pueden ayudarlo a proteger su servidor de ataques de escalada de privilegios y de red.

Actualice su núcleo

El núcleo obsoleto siempre es propenso a varios ataques de escalada de privilegios y de red. Así que puede actualizar su núcleo usando apt en Debian o yum en Fedora.

$ sudo apt-get update
sud sudo apt-get dist-upgrade

Deshabilitar trabajos Cron raíz

Los trabajos Cron que se ejecutan por cuenta de root o de privilegios altos se pueden usar como una forma de obtener privilegios altos por parte de los atacantes. Puedes ver cómo ejecutar trabajos cron por

$ ls / etc / cron*

Reglas estrictas de firewall

Debe bloquear cualquier conexión entrante o saliente innecesaria en puertos poco comunes. Puede actualizar las reglas de los cortafuegos utilizando iptables. Iptables es una utilidad muy flexible y fácil de usar que se utiliza para bloquear o permitir el tráfico entrante o saliente. Para instalar, escriba

$ sudo apt-get install iptables

Aquí hay un ejemplo para bloquear la entrada en el puerto FTP utilizando iptables

$ iptables-A INPUT-p tcp d dport ftp-j DROP

Deshabilitar servicios innecesarios

Detener cualquier servicio y demonio no deseado que se ejecute en su sistema. Puede enumerar los servicios en ejecución mediante los siguientes comandos.

:~ service service status status-all
acpid
alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
avahi-daemon
binfmt-support
bluetooth
cgroupfs-mount
…snip…

O usando el siguiente comando

$ chkconfig –list | grep ‘3:on’

Para detener un servicio, escriba

$ parada de servicio sudo

O

$ sudo systemctl stop

Comprobar si hay puertas traseras y Rootkits

Utilidades como rkhunter y chkrootkit se pueden usar para detectar puertas traseras y rootkits conocidos y desconocidos. Verifican los paquetes y configuraciones instalados para verificar la seguridad del sistema. Para instalar escribir,

:~$ sudo apt-get install rkhunter-y

Para escanear su sistema, escriba

:~$ sudo rkhunter check comprobar

Comprobar comandos del sistema…
Realizar comprobaciones de comandos de ‘cadenas’
Comprobar el comando de ‘cadenas’
Realizar comprobaciones de ‘bibliotecas compartidas’
Comprobar las variables precargadas
Comprobar las bibliotecas precargadas
Comprobar la variable LD_LIBRARY_PATH
Realizar comprobaciones de propiedades de archivos
Comprobar los requisitos previos
/usr/sbin/adduser
/usr/sbin/chroot
…snip…

Comprobar Puertos de escucha

Debe comprobar si hay puertos de escucha que no se utilizan y deshabilitarlos. Para comprobar si hay puertos abiertos, escriba.

:~ sud sudo netstat-ulpnt
Conexiones activas de Internet (solo servidores)
Proto Recv-Q Send-Q Dirección local Estado de dirección extranjera PID/Nombre del programa
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 2136/redis-server 1
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1273/rpcbind
tcp 0 0 127.0.0.1:5939 0.0.0.0:* LISTEN 2989/teamviewerd
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 1287/systemd-resolv
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1939/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 20042/cupsd
tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN 1887/postgres
tcp 0 0 0.0.0.0:25 0.0.0.0:* ESCUCHAR 31259 / maestro
…snip…

Use un IDS (Sistema de pruebas de intrusión)

Use un IDS para verificar los registros de red y evitar actividades maliciosas. Hay un Snort de ID de código abierto disponible para Linux. Puede instalarlo,

$ wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
$ wget https://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
$ tar xvzf daq-2.0.6.alquitrán.gz
cd cd daq-2.0.6
$ ./ configure & & make & & sudo make install
tar tar xvzf snort-2.9.12.alquitrán.gz
cd cd snort-2.9.12
$ ./ configure enable enable-sourcefire & & make & & sudo make install

Para supervisar el tráfico de red, escriba

:~$ sudo snort
Corriendo en modo de volcado de paquetes
= = = Inicialización de Snort = = Plugins
Inicialización de plugins de salida!
DAQ de pcap configurado en pasivo.
Adquiriendo tráfico de red de «tun0».
Decodificación de IP4 Raw
— = = Inicialización completa = = …snip…

Deshabilitar el registro como Root

Root actúa como un usuario con privilegios completos, tiene poder para hacer cualquier cosa con el sistema. En su lugar, debe aplicar el uso de sudo para ejecutar comandos administrativos.

Eliminar archivos sin propietario

Los archivos que no pertenecen a ningún usuario o grupo pueden ser una amenaza para la seguridad. Debe buscar estos archivos y eliminarlos o asignarles un grupo de usuarios adecuado. Para buscar estos archivos, escriba

$ find / dir-xdev \ (- nouser-o-nogroup\) – print

Use SSH y sFTP

Para la transferencia de archivos y la administración remota, use SSH y sFTP en lugar de telnet y otros protocolos inseguros, abiertos y sin cifrar. Para instalar, escriba

$ sudo apt-get install vsftpd-y
sud sudo apt-get install openssh-server-y

Monitorear registros

Instale y configure una utilidad de analizador de registros para verificar los registros del sistema y los datos de eventos regularmente para evitar cualquier actividad sospechosa. Tipo

$ sudo apt-get install-y loganalyzer

Desinstale Softwares no utilizados

Instale softwares lo menos posible para mantener una superficie de ataque pequeña. Cuantos más software tenga, más posibilidades de ataques tendrá. Por lo tanto, elimine cualquier software innecesario de su sistema. Para ver los paquetes instalados, escribir

$ dpkg –list
$ dpkg –info
$ apt-get list

Para eliminar un paquete

$ sudo apt-get remove-y
$ sudo apt-get clean

Conlusion

Linux servidor de endurecimiento de la seguridad es muy importante para las empresas y los negocios. Es una tarea difícil y tediosa para los administradores de sistemas. Algunos procesos pueden ser automatizados por algunas utilidades automatizadas como SELinux y otros softwares similares. Además, mantener los softwares minimus y deshabilitar los servicios y puertos no utilizados reduce la superficie de ataque.



+