05 agosto 2013

Asegurando nuestros servidores Linux

Vamos con otra publicación de seguridad y que recomiendo que se le ponga mucha atención. Mas todavia si somos administradores de sistemas y cuando nuestros servidores corren servicios críticos.

Asegurando nuestro servidor Linux es importante para proteger nuestros datos y propiedad intelectual de la mano de los Hackers. El Administrador de Sistema es responsable de la Seguridad de un servidor Linux. En esta parte le voy a suministrar varios tips para reforzar la seguridad de un servidor con una instalación de Linux.

Minimizar los Sofware para Minimizar las Vulnerabilidades

Realmente una de las cosas mas importantes es verificar los softwares instalados y si realmente los necesitamos. Hay que evitar tener software innecesario y de esa manera evitamos tener vulnerabilidades en los softwares. Usemos herramientas como Yum, dpkg, RPM, o apt-get dependiendo de la distribución que estemos utilizando para listar los software que tenemos instalados y asi eliminar lo que entendemos que no son necesarios.
Algunos ejemplos,

# yum list installed
# yum list nombredelpaquete
# yum remove nombredelpaquete

# dpkg –list
# dpkg –info nombredelpaquete
# apt-get remove nombredelpaquete

#rpm -qa
#rpm -e nombredelpaquete

Mantener el Kernel y los Sofwares Actualizados

Aplicar Parches de Seguridad es una parte vital en el mantenimiento de un servidor Linux. Linux provee todas las herramientas necesarias para mantener nuestro sistema actualizado y con los ultimos parches de seguridad. Aqui podemos utilizar las herramientas de administracion de paquetes como yum, apt-get o dpkg.


# yum update
# apt-get update && apt-get upgrade

Encriptar la comunicación de Datos

Todos los datos que se transmiten por una red puede ser interceptada, por eso es de vital importancia encriptar los datos donde sea posible usando claves, llaves o certificados.
Evitemos el Uso de FTP, Telnet. Rsh. En muchas configuraciones de red los nombres de usuarios, claves y archivos durante una transferencia por FTP, Telnet o rsh pueden ser capturados por cualquiera que este en la red mediante un Sniffer. La mejor práctica es usar OpenSSH, SFTP o FTPS ( FTP sobre SSL), los cuales agregan niveles de encriptación haciendo mucho mas difícil la captura de esos datos que están viajando.

Un solo servicio de Red por Servidor Fisico o Virtual

Es recomendable correr los servicios de red en servidores separados. Esto limita el número de los servicios que pueden ser comprometidos. Para dar un ejemplo, si un hacker logra accesar al sistema por una vulnerabilidad de algún software o servicio, como apache, este también tendría acceso a otros servicios, digamos MySQL, servidor de correo, Etc, si estos corren en el mismo servidor.

Deshabilite servicios innecesarios

Deshabilite servicios innecesarios que corren en Segundo plano y que no estan siendo utilizados. Es recomendable también deshabilitarlos en el booteo. Si queremos un listado de los servicios que están activos en un Runlevel específico corremos el siguiente comando como root.

#chkconfig –list | grep ’3:on’

Aqui estamos listando los servicios que suben en RunLevel 3

Si queremos deshablitar un servicio

# service nombredelservicio stop
# chkconfig nombredelservicio off

 Cierre cualquier puerto de comunicación que no sea necesario

Podemos correr los siguientes commandos para listar los puertos abiertos en nuestro sistema y los programas asociados.

#netstat -tulpn

o

#nmap -sT -O localhost
#nmap -sT -O ejemplo.com

Es recomendable solo dejar abierto los puertos que estemos utilizando y los que no pues lo mejor es cerrarlos o filtrarlos por Iptables. Mientras menos puertos tengamos abiertos menos posibilidad tenemos de que puedan accesar a nuestro servidor. Y si filtramos lo que tenemos abiertos pues reforzamos todavía mas la seguridad.

Mas adelante les estará hablando con mas profundidad sobre la Herramienta NMAP  y como podemos filtrar las conexiones a estos puertos.

Estos son solo algunos de los tips de muchos otros que tengo para ustedes y que estaremos viendo y analizando.




No hay comentarios:

Publicar un comentario en la entrada