Linux es un sistema operativo estable y bastante seguro ya que tiene un modelo de seguridad incorporado por defecto. Desde el lanzamiento de su primera
versión, justo hoy hace 24 años, Linux se actualiza constantemente, manteniendo siempre la opción de ajustar y personalizar la seguridad según a tus necesidades. Aunque Linux es un sistema operativo seguro no es a prueba de todo principalmente si no se ajusta la misma, así que en este post te daremos algunos tips para que puedas incrementar la seguridad en tus servidores Linux y puedas proteger tus datos.
Así que en este post te daremos algunos tips para que puedas incrementar la seguridad en tus servidores Linux y puedas proteger tus datos.
Crea particiones
Te recomendamos tener diferentes particiones. En caso de algún problema las particiones disminuyen riesgos de que los datos se dañen.
Pero para esto tienes que asegurarte de instalar todas las aplicaciones de terceros en la partición /opt y contar con las siguientes particiones:
/
/boot
/usr
/var
/home
/tmp
/opt
Asegúrate de que los registros están funcionando
Asegúrate de que el archivo /var/log está funcionando correctamente, pues aunque Linux normalmente hace circular los registros del kernel del servidor Web y de otras aplicaciones, algunas veces esto no funciona correctamente.
Revisa los puertos de red que escuchan conexiones
Utilizando el comando “netstat” puedes ver la lista de todos los puertos abiertos posibles y los programas asociados. Usa el comando “chkconfig” para desactivar todos los servicios de red no deseados.
# netstat –tulpn
Seguridad física del sistema
Configura la BIOS para deshabilitar el arranque desde CD/DVD, u otros dispositivos externos en la BIOS. Posteriormente habilita la contraseña del BIOS y también protege el archivo GRUB con contraseña para restringir el acceso físico al sistema.
Emplea Secure Shell (SSH)
¿Sabes qué protocolo emplear para el envío de información? Telnet y rlogin utilizan texto plano para el envío de información, así que esto ya es un fallo en la seguridad. Sin embargo existe Secure Shell (SSH) que es un protocolo seguro porque utiliza cifrado en la comunicación con el servidor.
Te recomendamos que no entres directamente como root. Utiliza “sudo” para ejecutar los comandos que requieren comandos administrativos. Se encuentra especificado sudo en el archivo /etc/sudoers/ y puedes editarlo con el comando “visudo” a través de la interfaz del editor Vi.
También te recomendamos cambiar el puerto predeterminado para el protocolo SSH, el puerto 22 el que tiene por defecto, cámbialo a otro número de puerto más alto o menos convencional.
Modifica el archivo principal de configuración de SSH «/etc/ssh/sshd_config» con los siguientes parámetros para poder restringir el acceso a usuarios.
# vi /etc/ssh/sshd_config
Deshabilitar root Login
PermitRootLogin no
Permitir sólo usuarios específicos
AllowUsers username
Utilizar el Protocolo SSH Versión 2
Protocol 2
Cambiar puerto para escuchar conexiones entrantes
Port 50221
Actualiza el sistema
Otro consejo es que actualicees el software y más si hablamos de parches del kernel y revisiones de seguridad.
# yum updates
# yum check-update
# sudo apt-get update
Neutraliza los puertos USB
Una manera de aumentar la seguridad es restringir a los usuarios a que conecten sus memorias USB. Para logarlo debes crear el archivo /etc/modprobe.d/no-usb y posteriormente tienes que agregar la siguiente línea para que de esta forma no se detecten los dispositivos USB.
install usb-storage /bin/true
Evita usar las mismas contraseñas
Es muy recomendable que evites que los usuarios estén utilizando las mismas contraseñas que ya han usado anteriormente. Para hacer esto debes de encontrar el archivo de contraseñas que se ubica en /etc/security/ opasswd. Esto lo puedes hacer mediante el uso del módulo PAM.
En los sistemas Red Hat Enterprise Linux, CentOS o Fedora se edita el archivo /etc/pam.d/system-auth. Y en los sistemas Debian, Ubuntu o Linux Mint, debes editar el archivo /etc/pam.d/common-password. Y posteriormente debes añadir la siguiente en la sección auth:
auth sufficient pam_unix.so likeauth nullok
Y en la sección password debes agregar la siguiente línea para evitar que el usuario utilice las 5 últimas contraseñas usadas en el sistema:
password sufficient pum_unix.so nullok use_authtok md5 shadow remember=5
Sabemos que actualmente existen software que te permite monitorear y mantener la seguridad, pero con estos tips que ya has leído puedes mejorarla desde este momento. Aplica estos tips en tus servidores Linux para incrementar la seguridad en ellos.
Muy útil y muy buenos consejos. Gracias marcoaltura, muy bien traído y explicado. Quizá alguna información más completa en «actualizar el sistema», y también puede que indicar cómo recuperar rápidamente el control de los USB. ¿Vale con eliminar la orden y reiniciar o basta con eliminar la orden? Pues lo que sea, ponerlo.
Se supone que quien usa un servidor sabe estas cosas, pero si das seguridad puedes conseguir que más gente se anime a implantar uno, siguiendo los consejos de la FSF para implementar servicios de «nube» (donde mejor está tu información es contigo, resumiendo, sería el consejo XD).
Pero eso, que la entrada está muy, pero muy bien. Saludos.