La seguridad es un tema popular entre los administradores de sistemas Linux. Todos los foros que leo, todas las conferencias a las que asisto y todas las discusiones centradas en TI de las que formo parte siempre giran en torno a la seguridad, y luego las conversaciones giran, inevitablemente, en torno a la seguridad de Linux. Esta es mi experiencia, y mi incapacidad para evitar escuchar a escondidas las conversaciones tecnológicas sobre Linux es el origen de este artículo. Estas son mis cinco recomendaciones para comenzar con una instalación de Linux más segura desde el primer momento.
[¿Quiere probar Red Hat Enterprise Linux? Descárguelo ahora gratis.]
Mantenlo mínimo
Cuando instalo Linux, siempre instalo la versión más pequeña posible. Para CentOS o Red Hat Enterprise Linux, esto significa una instalación mínima. Prefiero comenzar poco a poco y luego agregar lo que necesito en lugar de eliminar lo que no necesito. El beneficio adicional de seleccionar una instalación mínima es que la huella del sistema también es mínima. El espacio en disco es barato, pero ¿quién quiere desperdiciar espacio en disco en aplicaciones superfluas que podrían volver a atormentarnos más tarde con problemas de seguridad? Todo lo que necesito inicialmente es una instalación base con un servidor SSH para poder conectarme y administrarlo de forma remota. Puedo agregar lo que necesite a través de DNF más adelante.
Los servidores son zonas libres de GUI
Si su sistema Linux vivirá como un servidor, no instale una interfaz gráfica de usuario. Varias personas discuten este punto. Desde el punto de vista de la seguridad, la instalación de una GUI, incluso una pequeña, requiere muchos paquetes de software adicionales. Cualquiera de estos podría ser susceptible a problemas de seguridad. Algunos paquetes de GUI pueden abrir puertos en su sistema, lo cual no es deseable porque esa acción aumenta la superficie de ataque. Por último, el rendimiento de su sistema podría (se verá afectado) por tener una interfaz gráfica, porque las GUI consumen muchos recursos del sistema.
Deje las GUI en el escritorio. Aprende la línea de comandos.
Los cortafuegos son obligatorios
En sistemas basados en Red Hat (Red Hat Enterprise Linux, Fedora y CentOS), firewalld es su cortafuegos predeterminado. úsalo Este firewall basado en host protege su sistema de intrusiones no deseadas a través de todos los puertos, excepto aquellos que haya permitido explícitamente. También puede limitar selectivamente el tráfico saliente a través del firewall.
Sin embargo, el método más seguro para limitar el tráfico saliente es tener un servidor proxy interno de Internet configurado y solo permitir el tráfico saliente a ese sistema. También puede permitir el tráfico SSH a su subred local en caso de que necesite conectarse de un sistema a otro. Los firewalls basados en host pueden ser frustrantes cuando se prueba la conectividad entre sistemas, especialmente para los servicios recién configurados, pero vale la pena los momentos de frustración. Cuelgue un cartel justo encima de su(s) monitor(es) en su cubículo que diga "COMPROBAR EL CORTAFUEGOS" y estará bien.
Vale la pena aprender SELinux
Ah, el tan odiado e incomprendido SELinux. Por lo general, los administradores del sistema deshabilitan o eliminan SELinux por completo en lugar de lidiar con la angustia extrema de seguridad mejorada que produce. Mi consejo es dejar este servicio activado, habilitado y configurado para hacer cumplir.
SELinux usa lo que se conoce como control de acceso obligatorio (o MAC), mientras que los firewalls usan control de acceso basado en reglas y los permisos estándar *nix se conocen como control de acceso discrecional. Antes de darse por vencido y deshabilitar SELinux, lea la documentación sobre su configuración. Dado que la mayoría de los sistemas solo ejecutan un pequeño conjunto de servicios, la configuración no es tan complicada en comparación con el peligro de no tener este servicio habilitado.
SELinux debe configurarse de una manera particular, lo que permite etiquetar los archivos, configurarlos en contextos de seguridad y reiniciar un par de veces para que todo funcione. Lea la documentación. SELinux, contrariamente a la creencia popular, NO es un firewall (o un reemplazo de uno), una solución antimalware, un reemplazo de los mecanismos de autenticación como la autenticación multifactor o una panacea de seguridad por cualquier tramo de la imaginación.
SELinux es una defensa contra la escalada de privilegios de los servicios que se ejecutan como usuario raíz. Apagarlo es probablemente una mala idea. El uso correcto de SELinux es una capa adicional de protección necesaria en estos días de amenazas persistentes avanzadas y malware más inteligente.
Los inicios de sesión raíz remotos son una mala idea
De forma predeterminada, en los sistemas basados en Red Hat, el usuario raíz puede iniciar sesión de forma remota a través de SSH. Puedo entender por qué esta función está configurada de forma predeterminada en los sistemas recién instalados, pero debe desactivarse una vez que el sistema esté activo y operativo, y se hayan creado cuentas con acceso sudo.
Deshabilitar el inicio de sesión raíz remoto evita que un atacante use métodos de fuerza bruta para adivinar su contraseña raíz. Los intentos se registran pero no tendrán ningún efecto en su seguridad porque la cuenta raíz no puede iniciar sesión de forma remota. Y si tiene instalado un script o un servicio de prevención de intrusiones, los intentos repetidos dan como resultado automáticamente una nueva regla DROP o la creación de un /etc/hosts.deny entrada.
Verifique si los inicios de sesión de root remotos están habilitados:
$ sudo grep -i root /etc/ssh/sshd_config
PermitRootLogin yes
# the setting of "PermitRootLogin without-password".
#ChrootDirectory none
Si ve PermitRootLogin yes , entonces el usuario raíz puede iniciar sesión de forma remota a través de SSH. Edite el /etc/ssh/sshd_config archivo y coloque un # para comentar la línea, o cambiar yes a no . Reinicie el sshd servicio para aceptar la nueva configuración:
$ sudo systemctl restart sshd.service El usuario raíz ya no podrá iniciar sesión a través de SSH.
Conclusión
Lea cualquier encuesta de los últimos diez años y verá que la seguridad es la máxima prioridad o preocupación para los administradores de sistemas. Haz que sea tu prioridad para asegurar un sistema con al menos estos cinco consejos antes de que sus sistemas entren en producción. La seguridad no es algo que pueda posponer o relajarse. Estos cinco consejos lo ayudarán a implementar un sistema más seguro en línea y hacer de su red un lugar más seguro para trabajar.