10 consejos para proteger un servidor linux

10 consejos para proteger un servidor linux, que deberías poner en práctica, ya.

De forma predeterminada, los servidores Linux tienen un alto grado de seguridad. Por este motivo, la gran mayoría de servidores web usan linux, y si hablamos de supercomputadoras se dispara al 100%.

Como todo en la vida, nada es perfecto, siempre hay algo que pueden salir mal si no se toman las precauciones adecuadas. Debido a la naturaleza de linux (open source), es algo lógico que aparezcan vulnerabilidades, aunque rápidamente se lanzan parches de seguridad.

Además de contar con la propia solidez del nucleo, tenemos muchas herramientas de seguridad que no podemos olvidar si queremos proteger un servidor linux. Es imprescindible que los administradores de sistemas y usuarios en general, tomen las debidas precauciones y sigan algunos pasos que en este artículo recomendamos.

Consejos para proteger un servidor linux

Consejos para proteger un servidor linux

 

10 consejos para proteger un servidor linux

Cuando encontramos un servidor o sistema de escritorio comprometido, no te engañes, el 99,99% de las veces es culpa del desconocimiento de un usuario, o de algún sysadmin poco experimentado. Cuando analizas el problema, te das cuenta de que la prevención era muy simple. En este artículo usamos Ubuntu 20.04 server, pero es válido para la mayoría de distribuciones linux. Comenzamos.

 

Configurar un usuario no root

Al contrario que en las instalaciones de escritorio, al instalar una distribución de servidor, esta viene con el usuario root configurado y listo para iniciar sesión. Una vez que el usuario root inicia sesión, no necesita ningún permiso extra para realizar cualquier acción en el servidor.

Esta práctica se considera insegura, si quieres proteger un servidor es mucho mejor configurar algún usuario en el «grupo sudo«, que requiera autentificarse si quieres realizar cambios importantes en el servidor.

Puedes agregar un nuevo usuario con el siguiente comando.

adduser [usuario]

Ejemplo…

root@SoloLinux:~# adduser usuario
Adding user `usuario' ...
Adding new group `usuario' (1001) ...
Adding new user `usuario' (1001) with group `usuario' ...
Creating home directory `/home/usuario' ...
Copying files from `/etc/skel' ...
New password: 
Retype new password: 
passwd: password updated successfully
Changing the user information for usuario
Enter the new value, or press ENTER for the default
 Full Name []: sololinux
 Room Number []: sololinux
 Work Phone []: 
 Home Phone []: 
 Other []: 
Is the information correct? [Y/n] y
root@SoloLinux:~#

Para poder realizar tareas administrativas, debes agregar el nuevo [usuario] al grupo sudo.

usermod -aG sudo [usuario]

Actualiza. La próxima vez que reinicies el sistema podrás acceder con el nuevo usuario.

sudo apt upgrade

10 consejos para proteger un servidor linux

 

Proteger el inicio de sesión

Los nuevos usuarios suelen establecer contraseñas fáciles de recordar, pero a la vez inseguras. Debes cerciorarte de configurar contraseñas. Una combinación de números, letras y símbolos, es buena idea. Si puedes generar keys de acceso tal como explicamos en el artículo anterior, mejor que mejor.

Proteger un servidor linux con keys ssh

Proteger un servidor linux con keys ssh

 

Mantente actualizado

Las distribuciones Linux reciben actualizaciones de seguridad constantemente. No te dé pereza, debes buscar actualizaciones por lo menos una vez al día; Un administrador de sistemas no debe ser perezoso, pero por si acaso puedes habilitar las actualizaciones automáticas, todas las distribuciones lo permiten.

 

Aplicaciones y servicios innecesarios

Este punto debemos tenerlo muy claro, no es lo mismo un servidor que una máquina de escritorio. En el servidor solo debes tener instaladas las aplicaciones, herramientas y servicios que necesitas. Todo paquete que no utilizas, es un potencial problema de seguridad en el futuro.

Si quieres proteger un servidor correctamente, debes analizar la función de cada paquete instalado. En el caso de sistemas de escritorio es diferente, pues sus múltiples funciones son muchas y variadas.

 

Cierra los puertos que no usas

Cada puerto del sistema permite un tipo de tráfico en particular. Es un error común, pero a la vez garrafal, no revisar los puertos que están abiertos después de instalar linux. Cada puerto que tengas abierto de forma innecesaria, supone una grave amenaza de seguridad.

Existen bots lanzados por piratillas (mejor dicho lamers), que escanean continuamente rangos completos de ip buscando máquinas con puertos abiertos, para intentar colar algún exploit o cualquier otro bicho en tu sistema.

Si eres un usuario novel, te recomiendo que cierres todos los puertos desde tu firewall y, vayas abriendo los que necesitas realmente. Ojo con los paneles de control web estilo Cpanel, Plesk, etc, suelen abrir puertos de control para conectarse ellos.

10 consejos para proteger un servidor linux

 

Instala y configura fail2ban

Fail2Ban es una herramienta programada para analizar y contabilizar los registros del sistema, según el número y tipo de intento de acceso, bloquea las ip al considerarlas ataques maliciosos. Fail2Ban también bloquea los ataques de fuerza bruta que intentan conseguir las contraseñas de forma repetitiva.

En sololinux.es tenemos muchos artículos sobre esta herramienta, pulsa aquí para verlos.

Proteger un servidor linux con fail2ban

Proteger un servidor linux con fail2ban

 

Configurar 2FA

La autentificación de dos factores también conocida como 2FA, es una capa adicional de seguridad para autenticar usuarios en el servidor. Si usas un panel de control web en tu servidor, no te resultara difícil implantarlo, la mayoría tienen sus propios plug-ins.

2FA requiere de una contraseña adicional de un solo uso, que se envía a tu smartphone o también por mail. El usuario solo podrá acceder después de ingresar el nombre de usuario, su contraseña y la key de un solo uso. 10 consejos para proteger un servidor linux.

 

Modificar el puerto SSH

Si quieres proteger tu servidor, te sugiero modificar los puertos predeterminados que son continuamente rastreados. SSH y FTP se llevan la palma. SSH se usa para acceder al servidor remoto y, FTP es un protocolo de transferencia de archivos bidireccional contra una máquina remota. Puedes aprender a modificar el puerto SSH, en este artículo.

 

Usa SpamAssassin

Si también tienes un servidor de correo electrónico, que mejor herramienta que SpamAssassin. Esta escanea todos los mails, bloqueando los que detecte como maliciosos. Es una buena forma de proteger un servidor. La mayoría de las distribuciones linux lo tienen en sus repositorios, por tanto su instalación es simple. Vemos un ejemplo en Ubuntu 20.04.

sudo apt install spamassassin
Proteger un servidor linux con SpamAssassin

Proteger un servidor linux con SpamAssassin

 

Una vez concluya la instalación, te sugiero que actualices las reglas con este comando.

sudo sa-update

 

Auditoría de seguridad

La seguridad no es revisar hoy y se acabó. Debes auditar la seguridad de tu sistema por lo menos una vez a la semana, sobre todo si hablamos de un servidor en producción. No es común, pero puede suceder que algún servicio importante no inicie con el sistema, asegúrate de que las herramientas de seguridad indispensables como fail2ban están activas.

Supervisa los dispositivos de almacenamiento, el uso de la memoria y los registros del sistema de forma manual. Debes estar siempre atento a los posibles ataques, así como a los recursos consumidos por el sistema, pequeños detalles pueden delatar una intrusión o un fallo de seguridad.

 

Canales de Telegram: Canal SoloLinux – Canal SoloWordpress

Espero que este artículo te sea de utilidad, puedes ayudarnos a mantener el servidor con una donación (paypal), o también colaborar con el simple gesto de compartir nuestros artículos en tu sitio web, blog, foro o redes sociales. 10 consejos para proteger un servidor linux.

Chat de SoloLinux en Telegram

 

2 Comentarios

  1. pedro hernanaez
    21/03/2021
    • Sergio G.B.
      21/03/2021

Agregar comentario

1 logo sololinux

Suscríbete a SoloLinux

Recibe todos los nuevos artículos es tu correo electrónico

You have Successfully Subscribed!

Ir al contenido