Proteger un servidor casero Ubuntu

Proteger un servidor casero Ubuntu y derivados.

Ya sea como servidor multimedia, servidor de archivos o incluso como backup local, es algo común que tengamos nuestro propio server casero. Ahora bien, mantenerlo con un minimo de seguridad es otra historia. La seguridad puede llegar a ser tan compleja como importante.

La seguridad basica de un servidor comienza en su propia instalación, piénsalo bien… por que instalas una aplicación o herramienta que no usaras nunca?, no la instales, es así de fácil.

Si no eres novato en linux, no deberías de realizar instalaciones predeterminados, utiliza el modo experto (o similar) que te ofrece un mayor control sobre la misma.

Un control minucioso de las opciones que se van a instalar, puede ahorrarnos un valioso tiempo en deshabilitar posteriormente servicios innecesarios por motivos de seguridad.

Una vez vistas las nociones básicas a la hora de instalar, entramos un poco más en profundidad en el tema.

Servidor casero ubuntu

Servidor casero Ubuntu

 

Proteger un servidor casero con Ubuntu

Lo primero que tenemos que hacer es asegurarnos que nuestro usuario tendrá acceso mediante ssh (es necesario para poder conectarnos después al servidor remotamente).

sudo -lU tu-usuario

Un ejemplo de respuesta correcta es:
User sergio may run the following commands on SoloLinux:
    (ALL) ALL

Si no fuera como el ejemplo anterior, debemos acceder al archivo «sudoers» y agregar nuestro usuario con sus permisos correspondientes.
nano /etc/sudoers

Copia y pega (con tu usuario).
mi-usuario   ALL=(ALL) ALL

Guarda el archivo y cierra el editor nano.

 

Configurar SSH

Como norma general, el server ssh ya viene instalado. Por si acaso ejecutamos el comando siguiente.

sudo apt install openssh-server

La autentificación basada en claves es mucho más segura que con contraseña, por tanto configuraremos SSH para que utilice claves.

OJO!!!, este proceso lo debemos hacer en el cliente con el que después nos conectaremos al servidor (nunca en el propio server).

Primero nos aseguramos que no tenemos ninguna clave ya generada en nuestro sistema.

ls ~/.ssh/

Si en los archivos listados aparece «id_rsa» o «id_rsa.pub» es porque ya tienes una clave, salta el paso que indicamos a continuación.

Generamos una clave con nuestros datos reales.

ssh-keygen -t rsa -b 4096 -C "usuario@dominio.es"

Bien… ya la tenemos, en este paso copiaremos nuestra clave de acceso al server, debes tener en cuenta que en un servidor casero (doméstico) es probable que utilicemos la ip para acceder en vez de un nombre. Si no conoces el nombre del servidor, usa la dirección IP en vez del nombre, realmente da lo mismo.

Ejecutamos lo siguiente:

ssh-copy-id miusuario@IP-o-nombre

Nos falta editar la configuración SSH. Iniciamos la sesión desde el PC-cliente en el que tenemos las claves y editamos la configuración del servidor.
sudo nano /etc/ssh/sshd_config

Debes copiar y pegar en el archivo las lineas siguientes, pero ojo… si ya existe alguna no la dupliques.
ChallengeResponseAuthentication no

PasswordAuthentication no

UsePAM no

PermitRootLogin no

Para finalizar reiniciamos el servidor SSH.
sudo systemctl restart ssh

 

Configurar el firewall

En un servidor casero es más que suficiente utilizar el «firewall UFW«, en un articulo anterior ya creamos un tutorial bastante completo, aun así volvemos a explicar los pasos imprescindibles para configurar UFW en tu server Ubuntu.

Dependiendo de la versión de Ubuntu tal vez no lo tengas instalado, procedemos a ello.

sudo apt install ufw

Lo habilitamos.
sudo ufw enable

Al activarlo y de manera predeterminada se bloquearán todos los puertos. Como mínimo debemos habilitar el acceso a la red y a ssh, ejecuta los siguientes comandos para abrir los puertos 80, 443 y 22:
sudo ufw allow 80

sudo ufw allow 443

sudo ufw allow 22

 

Habilitar actualizaciones automáticas

Si no quieres estar pendiente de actualizar cada X días, tal vez te convenga automatizar las actualizaciones de seguridad, la tarea es sencilla tan solo debes ejecutar lo siguiente.

sudo dpkg-reconfigure -plow unattended-upgrades

Aparecerá en pantalla una ventana similar a la siguiente, pulsa «YES» o «SI».
Configurar auto update

Configurar auto update en Ubuntu

 

Este articulo esta pensado para servidores domésticos, si es empresarial o manejas datos sensibles busca en sololinux.es otros post más especializados.

En Sololinux.es seguimos creciendo gracias a nuestros lectores, puedes colaborar con el simple gesto de compartir nuestros artículos en tu sitio web, blog,  foro o redes sociales.

 

Agregar comentario