Introducción al endurecimiento de seguridad del servidor de Linux
Actualiza tu kernel
El núcleo obsoleto siempre es propenso a varios ataques de escalada de redes y privilegios. Para que pueda actualizar su kernel usando apto en Debian o beque en Fedora.
$ sudo apt-get actualización
$ sudo apt-get dist-upgrade
Deshabilitar trabajos de raíz cron
Los atacantes pueden utilizar los trabajos cron que se ejecutan por raíz o una cuenta de alto privilegio como una forma de obtener altos privilegios por parte de los atacantes. Puedes ver ejecutar trabajos cron por
$ ls /etc /cron*
Reglas estrictas de firewall
Debe bloquear cualquier conexión innecesaria de entrada o salida en puertos poco comunes. Puede actualizar sus reglas de firewalls utilizando iptables. Iptables es una utilidad muy flexible y fácil de usar utilizada para bloquear o permitir el tráfico entrante o saliente. Para instalar, escribir
$ sudo apt-get install iPtables
Aquí hay un ejemplo para bloquear entradas en el puerto FTP usando iptables
$ iptables -a entrada -p tcp --dport ftp -j drop
Desactivar servicios innecesarios
Detenga cualquier servicio no deseado y demonios que se ejecuten en su sistema. Puede enumerar la ejecución de servicios utilizando los siguientes comandos.
ubuntu@ubuntu: ~ $ servicio--status-all
[ +] ACPID
[ -] alsa -utils
[ -] Anacron
[ +] apache-htcacheclean
[ +] apache2
[ +] Apparmor
[ +] Apport
[ +] Avahi-daemon
[ +] binfmt-soporte
[ +] Bluetooth
[ -] CGROUPFS -MOUNT
... Snip ..
O usando el siguiente comando
$ chkconfig --list | GREP '3: ON'
Para detener un servicio, escriba
$ sudo servicio [servicio_name] parar
O
$ sudo SystemCtl Stop [Service_Name]
Verifique si hay traseros y keídos
Se pueden usar utilidades como Rkhunter y Chkrootkit para detectar puertas y raíces conocidos y desconocidos. Verifican paquetes y configuraciones instalados para verificar la seguridad del sistema. Para instalar escritura,
ubuntu@ubuntu: ~ $ sudo apt -get install rkhunter -y
Para escanear su sistema, escriba
ubuntu@ubuntu: ~ $ sudo rkhunter -check
[Rootkit Hunter versión 1.4.6]
Comprobación de comandos del sistema ..
Realización de verificaciones de comando 'Strings'
Comprobación del comando de 'cadenas' [OK]
Realización de cheques de 'bibliotecas compartidas'
Comprobando las variables de precarga [ninguna encontrada]
Comprobando las bibliotecas precargadas [ninguna encontrada]
Verificación de LD_Library_Path [no encontrado]
Realización de comprobaciones de propiedades del archivo
Verificar los requisitos previos [OK]
/usr/sbin/adduser [OK]
/usr/sbin/chroot [ok]
... Snip ..
Verifique los puertos de escucha
Debe verificar los puertos de escucha que no se usan y deshabilitarlos. Para verificar los puertos abiertos, escriba.
azad@ubuntu: ~ $ sudo netstat -ulpnt
Conexiones de Internet activas (solo servidores)
Proto Recv-Q Send-Q Dirección local Dirección Extranjera PID/Nombre del programa
TCP 0 0 127.0.0.1: 6379 0.0.0.0:* Escucha 2136/Redis-server 1
TCP 0 0 0.0.0.0: 111 0.0.0.0:* Escucha 1273/rpcbind
TCP 0 0 127.0.0.1: 5939 0.0.0.0:* Escucha 2989/TeamViewerd
TCP 0 0 127.0.0.53:53 0.0.0.0:* Escucha 1287/Systemd-Resolv
TCP 0 0 0.0.0.0:22 0.0.0.0:* Escucha 1939/sshd
TCP 0 0 127.0.0.1: 631 0.0.0.0:* Escucha 20042/Cupsd
TCP 0 0 127.0.0.1: 5432 0.0.0.0:* Escucha 1887/Postgres
TCP 0 0 0.0.0.0:25 0.0.0.0:* Escucha 31259/maestro
... Snip ..
Use un IDS (sistema de pruebas de intrusión)
Use un IDS para verificar los registros de red y evitar cualquier actividad maliciosa. Hay un Snort de IDS de código abierto disponible para Linux. Puedes instalarlo por,
$ wget https: // www.bufido.org/downloads/snort/daq-2.0.6.alquitrán.GZ
$ wget https: // www.bufido.org/downloads/snort/snort-2.9.12.alquitrán.GZ
$ tar xvzf daq-2.0.6.alquitrán.GZ
$ CD DAQ-2.0.6
ps ./configure && make && sudo make install
$ tar xvzf snort-2.9.12.alquitrán.GZ
$ CD Snort-2.9.12
ps ./configurar --enable-sourcefire && make && sudo make install
Para monitorear el tráfico de red, escriba
ubuntu@ubuntu: ~ $ sudo bisoteo
Ejecutar en modo de volcado de paquetes
--== Inicializando Snort ==--
Inicializando complementos de salida!
PCAP DAQ configurado para pasivo.
Adquirir tráfico de red de "Tun0".
Decodificación de IP4 crudo
--== Inicialización completa ==--
... Snip ..
Deshabilitar el registro como root
Root actúa como un usuario con privilegios completos, tiene poder para hacer cualquier cosa con el sistema. En su lugar, debe hacer cumplir el uso de sudo para ejecutar comandos administrativos.
Eliminar los archivos de no propietario
Los archivos propiedad de ningún usuario o grupo pueden ser una amenaza de seguridad. Debe buscar estos archivos y eliminarlos o asignarles a un usuario adecuado un grupo. Para buscar estos archivos, escriba
$ find /dir -xdev \ (-nouser -o -nogroup \) -impresión
Use SSH y SFTP
Para la transferencia de archivos y la administración remota, use SSH y SFTP en lugar de Telnet y otros protocolos inseguros, abiertos y no cifrados. Para instalar, escriba
$ sudo apt -get install vsftpd -y
$ sudo apt-get install openssh-server -y
Monitorear registros
Instale y configure una utilidad de analizador de registro para verificar los registros del sistema y los datos de eventos regularmente para evitar cualquier actividad sospechosa. Tipo
$ sudo apt -get install -y loganalyzer
Desinstalar softwares no utilizados
Instale software lo más mínimo posible para mantener una pequeña superficie de ataque. Cuantos más software tenga, más posibilidades de ataques tienes. Así que elimine cualquier software innecesario de su sistema. Para ver paquetes instalados, escriba
$ DPKG -Lista
$ dpkg --info
$ apt-get list [paquete_name]
Para eliminar un paquete
$ sudo apt -get eliminar [paquete_name] -y
$ sudo apt-get limpia
Confusión
El endurecimiento de seguridad del servidor de Linux es muy importante para empresas y empresas. Es una tarea difícil y agotadora para los administradores del sistema. Algunos procesos pueden ser automatizados por algunas utilidades automatizadas como Selinux y otros softwares similares. Además, mantener mínimos softwares y deshabilitar servicios y puertos no utilizados reduce la superficie de ataque.