Fortalecimiento del servidor Ubuntu 14.04

El endurecimiento es el proceso de reducir vulnerabilidades y proteger un sistema de posibles puntos de ataque. La reducción de vulnerabilidades incluye la eliminación de servicios, nombres de usuario e inicios de sesión innecesarios y la desactivación de puertos innecesarios. En este artículo, le mostraremos cómo puede fortalecer un servidor Ubuntu.

Requisitos

Servidor Ubuntu 14.04 LTS con Open SSH instalado.

Para comenzar: actualice el sistema

Es necesario mantener el sistema actualizado después de instalar cualquier sistema operativo. Esto reducirá las vulnerabilidades conocidas que se encuentran en su sistema.

Para Ubuntu 14.04, ejecute lo siguiente:

Habilitar actualizaciones de seguridad automáticas

Habilitar las actualizaciones automáticas puede ser muy importante para proteger su servidor. Para instalar las «actualizaciones desatendidas», ejecute

Para habilitarlo, ejecute el siguiente comando:

Esto creará el archivo “/etc/apt/apt.conf.d/20auto-upgrades” que se muestra a continuación.

Crea un «usuario en la sombra» con poderes sudo

El uso de un «usuario en la sombra» en lugar de la cuenta raíz es necesario por razones de seguridad. Puede crear un usuario que no será fácil de adivinar para otros usuarios. En este tutorial usaremos “maketech111” como nombre de usuario.

Para crear un usuario, ejecute el siguiente comando:

Para dar acceso al usuario sudo, ejecute el siguiente comando:

Para establecer una contraseña, ejecute el siguiente comando:

Nota:  asegúrese de que su contraseña tenga al menos ocho caracteres y contenga una combinación compleja de números, letras y signos de puntuación.

Para eliminar la solicitud de contraseña para sudo, edite el archivo sudoers.

Agregue / edite como se describe a continuación.

Guarda el archivo y cierra.

Deshabilitar la cuenta root

Es necesario deshabilitar la cuenta raíz por razones de seguridad.

Para deshabilitar la cuenta root, use el siguiente comando:

Si necesita volver a habilitar la cuenta, ejecute el siguiente comando:

Agregar una partición SWAP

Algunos servidores Ubuntu no están configurados con SWAP . SWAP se utiliza cuando la cantidad de memoria física total (RAM) está llena.

Para verificar el espacio SWAP, ejecute el siguiente comando:

Si no hay un archivo SWAP, debería obtener el siguiente resultado.

Para crear el archivo SWAP de 4 GB, deberá utilizar el comando «dd».

Para configurar el archivo SWAP, ejecute el siguiente comando:

Para activar el archivo de intercambio, ejecute

Esto resultará como el siguiente:

Para habilitarlo permanentemente, edite el archivo “/ etc / fstab”.

Agregue la siguiente línea:

Mejorar el rendimiento de SWAP

Establezca el valor de intercambio adecuado para mejorar el rendimiento general del sistema.

Puede hacer esto con el siguiente comando:

Reinicie el sistema para comprobar si SWAP se activa correctamente.

Deshabilitar IPv6

Se recomienda deshabilitar IPv6 porque causa problemas con la conexión a Internet lenta.

Para deshabilitar IPv6, edite el archivo “/etc/sysctl.conf”.

Edite como se describe a continuación:

Para recargar la configuración, ejecute

Desactivar IRQBALANCE

IRQBALANCE se utiliza para distribuir interrupciones de hardware en varias CPU para aumentar el rendimiento del sistema. Se recomienda deshabilitar IRQBALANCE para evitar interrupciones de hardware en sus hilos.

Para deshabilitar IRQBALANCE, edite «/ etc / default / irqbalance»

y cambie el valor ENABLED a 0:

Corregir error de hemorragia de corazón de OpenSSL

El heartbleed  es una grave vulnerabilidad en OpenSSL. Permite a un usuario remoto filtrar la memoria en hasta 64k fragmentos. Los piratas informáticos pueden recuperar las claves privadas para descifrar cualquier dato, como el nombre de usuario y las contraseñas del usuario.

El error heartbleed se encontró en OpenSSL 1.0.1 y está presente en las siguientes versiones:

  • 1.0.1
  • 1.0.1a
  • 1.0.1b
  • 1.0.1c
  • 1.0.1d
  • 1.0.1e
  • 1.0.1f

Para verificar la versión de OpenSSL en su sistema, ejecute los siguientes comandos:

Esto generará algo como lo siguiente:

Si la fecha es anterior a «Lunes 7 de abril 20:33:29 UTC de 2014» y la versión es «1.0.1», entonces su sistema es vulnerable al error Heartbleed.

Para corregir este error, actualice OpenSSL a la última versión y ejecute

Ahora verifique la versión y ejecute

Esto generará algo como lo siguiente:

Asegure la consola, la memoria compartida, / tmp y / var / tmp

Asegure la consola

De forma predeterminada, muchos terminales están habilitados en su sistema. Puede permitir solo un terminal y deshabilitar los otros terminales.

Para permitir sólo «tty1» y deshabilitar otros terminales, edite el archivo «/ etc / securetty».

Agregue / edite las siguientes líneas:

Para proteger el archivo «/ etc / securetty», cambie el permiso del archivo y ejecute los siguientes comandos:

Memoria compartida segura

Cualquier usuario puede usar la memoria compartida para atacar un servicio en ejecución, como apache o httpd. De forma predeterminada, la memoria compartida se monta en lectura / escritura con permiso de ejecución.

Para hacerlo más seguro, edite el archivo “/ etc / fstab”.

Agregue la siguiente línea:

Para realizar los cambios sin reiniciar, puede ejecutar

Secure / tmp y / var / tmp

Los directorios temporales como / tmp, / var / tmp y / dev / shm abren la puerta para que los atacantes proporcionen espacio para ejecutar scripts y ejecutables maliciosos.

Carpeta segura / tmp

Cree un archivo de sistema de archivos de 1GB para la partición / tmp.

Cree una copia de seguridad de la carpeta / tmp actual:

Monte la nueva partición / tmp y establezca los permisos adecuados.

Copie los datos de la carpeta de respaldo y elimine la carpeta de respaldo.

Establezca / tmp en fbtab.

Agregue la siguiente línea:

Pruebe su entrada de fstab.

Seguro / var / tmp:

Algunos programas utilizan esta carpeta como carpeta temporal, por lo que también deberíamos proteger esta.

Para proteger / var / tmp, cree un enlace simbólico que haga que / var / tmp apunte a / tmp.

Establecer límites de seguridad y deshabilitar servicios no deseados

Establecer límites de seguridad

Para proteger su sistema de ataques de bombas de horquilla, debe establecer un límite de proceso para sus usuarios.

Para configurar esto, edite el archivo «/etc/security/limits.conf»,

y edite la siguiente línea:

Esto evitará que los usuarios de un grupo específico tengan un máximo de veinte procesos y maximizará el número de procesos a cien por usuario1.

Deshabilitar servicios innecesarios

Muchos servicios en Ubuntu ocupan memoria y espacio en disco que podría necesitar usar. Deshabilitar o eliminar servicios innecesarios puede mejorar el rendimiento general del sistema.

Para saber qué servicios se están ejecutando actualmente, ejecute el siguiente comando:

Puede desactivarlo ejecutando este comando.

Corregir la vulnerabilidad de Shellshock Bash:

La vulnerabilidad Shellshock permite a los piratas informáticos asignar variables de entorno Bash y obtener acceso no autorizado al sistema. Esta vulnerabilidad es muy fácil de explotar.

Para verificar la vulnerabilidad del sistema, ejecute el siguiente comando:

Si ve el resultado a continuación, significa que su sistema es vulnerable.

Para corregir esta vulnerabilidad, ejecute el siguiente comando:

Si ejecuta el comando nuevamente, verá:

Conclusión:

Aquí hemos explicado cosas básicas que podría hacer para fortalecer Ubuntu. Ahora debería tener suficiente conocimiento de las prácticas de seguridad básicas que puede implementar en su servidor Ubuntu. Espero que este post te sea de utilidad.

Referencia : Guía de refuerzo de Ubuntu

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario