LFCA: Consells bàsics de seguretat per protegir el sistema Linux - Part 17

Ara més que mai, vivim en un món on les organitzacions es veuen bombardejades constantment per bretxes de seguretat motivades per l'adquisició de dades molt sensibles i confidencials que són molt valuoses i suposa una gran recompensa financera.

És força sorprenent que, tot i tenir un alt risc de patir un ciberatac potencialment devastador, la majoria de les empreses no estiguin ben preparades o simplement passin per alt les banderes vermelles, sovint amb conseqüències devastadores.

El 2016, Equifax va patir una violació de dades catastròfica on es van robar milions de registres de clients altament confidencials després d'una sèrie de fallades de seguretat. Un informe detallat va indicar que la violació es podia prevenir si l'equip de seguretat d'Equifax hagués implementat les mesures de seguretat adequades.

De fet, mesos abans de l'incompliment, Equifax va ser advertit d'una possible vulnerabilitat al seu portal web que comprometria la seva seguretat, però malauradament, l'advertència no va ser atès amb greus conseqüències. Moltes altres grans corporacions han estat víctimes d'atacs, que continuen creixent en complexitat amb cada moment que passa.

No podem subratllar prou com de crucial és la seguretat del vostre sistema Linux. És possible que no siguis una institució financera d'alt perfil que sigui un objectiu potencial d'incompliments, però això no vol dir que hagis de baixar la guàrdia.

La seguretat hauria d'estar al capdavant de la vostra ment quan configureu el vostre servidor Linux, especialment si es connectarà a Internet i s'hi accedirà de forma remota. Tenir habilitats bàsiques de seguretat és essencial per protegir el vostre servidor Linux.

En aquesta guia, ens centrem en algunes de les mesures de seguretat bàsiques que podeu prendre per protegir el vostre sistema dels intrusos.

Vectors d'atac cibernètic

Els intrusos explotaran una varietat de tècniques d'atac per accedir al vostre servidor Linux. Abans d'aprofundir en algunes de les mesures que podeu prendre per salvaguardar el vostre sistema, explotem alguns dels vectors d'atac habituals que un pirata informàtic pot utilitzar per infiltrar-se en els sistemes.

Un atac de força bruta és un atac en què el pirata informàtic utilitza prova i error per endevinar les credencials d'inici de sessió de l'usuari. Normalment, l'intrus utilitzarà scripts automatitzats per obtenir entrada contínuament fins que s'obté la combinació correcta del nom d'usuari i la contrasenya. Aquest tipus d'atac és més efectiu quan s'utilitzen contrasenyes febles i fàcilment endevinables.

Com s'ha esmentat anteriorment, les credencials febles, com ara contrasenyes curtes i fàcilment endevinables, com password1234, representen un risc potencial per al vostre sistema. Com més curta i menys complexa sigui una contrasenya, majors són les possibilitats que el vostre sistema es vegi compromès.

El phishing és una tècnica d'enginyeria social on l'atacant envia a la víctima un correu electrònic que sembla provenir d'una institució legítima o d'algú que coneixeu o amb qui feu negocis.

Normalment, el correu electrònic conté instruccions que demanen a la víctima que divulgui informació sensible o pot contenir un enllaç que la dirigeixi a un lloc fals que es fa passar per el lloc de l'empresa. Un cop la víctima intenta iniciar sessió, l'atacant captura les seves credencials.

Programari maliciós és l'abreviatura de programari maliciós. Comprèn una àmplia gamma d'aplicacions nefastes, com ara virus, troians, cucs i ransomware, dissenyats per estendre's ràpidament i mantenir el sistema de la víctima com a ostatge a canvi d'un rescat.

Aquests atacs poden ser debilitants i poden paralitzar el negoci d'una organització. Alguns programes maliciosos es poden injectar en documents com ara imatges, vídeos, documents de Word o PowerPoint i empaquetar-se en un correu electrònic de pesca.

Un atac DoS és un atac que limita o afecta la disponibilitat d'un servidor o sistema informàtic. El pirata informàtic inunda el servidor amb trànsit o paquets de ping que fan que el servidor sigui inaccessible per als usuaris durant períodes prolongats.

Un atac DDoS (Distributed Denial of Service) és una mena de DoS que empra múltiples sistemes que inunden un objectiu amb trànsit que el fa no disponible.

Acrònim de Structured Query Language, SQL és un llenguatge utilitzat per comunicar-se amb bases de dades. Permet als usuaris crear, eliminar i actualitzar registres a la base de dades. Molts servidors emmagatzemen dades en bases de dades relacionals que utilitzen SQL per interactuar amb la base de dades.

Un atac d'injecció SQL aprofita una vulnerabilitat SQL coneguda que fa que el servidor divulgui informació confidencial de la base de dades que d'altra manera no faria injectant codi SQL maliciós. Això suposa un risc enorme si la base de dades emmagatzema informació d'identificació personal, com ara números de targetes de crèdit, números de seguretat social i contrasenyes.

Comunament abreujat com a MITM, l'atac man-in-the-middle implica que un atacant intercepta informació entre dos punts amb l'objectiu d'escoltar o modificar el trànsit entre les dues parts. L'objectiu és espiar la víctima, corrompre les dades o robar informació sensible.

Consells bàsics per protegir el vostre servidor Linux

Després d'haver analitzat les possibles passarel·les que un atacant pot utilitzar per violar el vostre sistema, repassem algunes de les mesures fonamentals que podeu prendre per protegir el vostre sistema.

No es pensa gaire en la ubicació física i la seguretat del vostre servidor, però, si aneu a tenir el vostre servidor en un entorn local, normalment aquí és on començareu.

És important assegurar-vos que el vostre servidor estigui protegit de manera segura en un centre de dades amb energia de seguretat, connectivitat a Internet redundant i refrigeració suficient. L'accés al centre de dades només s'ha de limitar al personal autoritzat.

Un cop configurat el servidor, el primer pas a fer és actualitzar els dipòsits i els paquets de programari d'aplicacions de la manera següent. L'actualització del paquet corregeix els buits que es puguin presentar a les versions existents d'aplicacions.

Per a distribucions Ubuntu/Debian:

$ sudo apt update -y
$ sudo apt upgrade -y

Per a distribucions RHEL/CentOS:

$ sudo yum upgrade -y

Un tallafoc és una aplicació que filtra el trànsit entrant i sortint. Heu d'instal·lar un tallafoc robust com ara el tallafoc UFW i habilitar-lo per permetre només els serveis necessaris i els seus ports corresponents.

Per exemple, podeu instal·lar-lo a Ubuntu mitjançant l'ordre:

$ sudo apt install ufw

Un cop instal·lat, activeu-lo de la següent manera:

$ sudo ufw enable

Per permetre un servei com HTTPS, executeu l'ordre;

$ sudo ufw allow https

Alternativament, podeu permetre el seu port corresponent que és 443.

$ sudo ufw allow 443/tcp

A continuació, torneu a carregar perquè els canvis tinguin efecte.

$ sudo ufw reload

Per comprovar l'estat del vostre tallafoc, inclosos els serveis permesos i els ports oberts, executeu

$ sudo ufw status

A més, considereu desactivar qualsevol servei i port no utilitzat o innecessari al tallafoc. Tenir diversos ports que no s'utilitzen només augmenta el paisatge d'atac.

La configuració predeterminada de SSH no és segura i, per tant, calen alguns ajustaments. Assegureu-vos d'aplicar la configuració següent:

  • Desactiva l'usuari root des de l'inici de sessió remot.
  • Activeu l'autenticació SSH sense contrasenya mitjançant claus públiques/privades SSH.

Per al primer punt, editeu el fitxer /etc/ssh/sshd_config i modifiqueu els paràmetres següents perquè apareguin com es mostra.

PermitRootLogin no

Un cop desactiveu que l'usuari root iniciï sessió de forma remota, creeu un usuari normal i assigneu privilegis sudo. Per exemple.

$ sudo adduser user 
$ sudo usermod -aG sudo user

Per habilitar l'autenticació sense contrasenya, primer aneu a un altre ordinador Linux, preferiblement el vostre ordinador i genereu un parell de claus SSH.

$ ssh-keygen

A continuació, copieu la clau pública al vostre servidor

$ ssh-copy-id [email 

Un cop hàgiu iniciat la sessió, assegureu-vos de desactivar l'autenticació de contrasenya editant el fitxer /etc/ssh/sshd_config i modificant el paràmetre que es mostra.

PasswordAuthentication no

Aneu amb compte de no perdre la vostra clau privada ssh, ja que aquesta és l'única via que podeu utilitzar per iniciar sessió. Mantingueu-la segura i, preferiblement, feu-ne una còpia de seguretat al núvol.

Finalment, reinicieu SSH per efectuar els canvis

$ sudo systemctl restart sshd

En un món amb amenaces cibernètiques en evolució, la seguretat hauria de ser una prioritat alta quan us embarqueu a configurar el vostre servidor Linux. En aquesta guia, hem destacat algunes de les mesures de seguretat bàsiques que podeu prendre per enfortir el vostre servidor. Al següent tema, aprofundirem i veurem passos addicionals que podeu fer per endurir el vostre servidor.