LFCA - Consells útils per protegir les dades i Linux - Part 18


Des del seu llançament a principis dels noranta, Linux s'ha guanyat l'admiració de la comunitat tecnològica gràcies a la seva estabilitat, versatilitat, personalització i una gran comunitat de desenvolupadors de codi obert que treballen les 24 hores del dia per solucionar errors i millores al sistema. sistema operatiu. En general, Linux és el sistema operatiu preferit per al núvol públic, servidors i superordinadors, i prop del 75% dels servidors de producció orientats a Internet funcionen amb Linux.

A part d'alimentar Internet, Linux ha trobat el seu camí cap al món digital i no ha disminuït des de llavors. Potencia una àmplia gamma de gadgets intel·ligents, com ara telèfons intel·ligents Android, tauletes, rellotges intel·ligents, pantalles intel·ligents i molts més.

Linux és tan segur?

Linux és conegut per la seva seguretat de primer nivell i és un dels motius pels quals és una elecció preferida en entorns empresarials. Però aquí hi ha un fet, cap sistema operatiu és 100% segur. Molts usuaris creuen que Linux és un sistema operatiu infal·lible, la qual cosa és una suposició falsa. De fet, qualsevol sistema operatiu amb connexió a Internet és susceptible a possibles incompliments i atacs de programari maliciós.

Durant els seus primers anys, Linux tenia un grup demogràfic centrat en la tecnologia molt més petit i el risc de patir atacs de programari maliciós era remot. Avui en dia, Linux alimenta una gran part d'Internet, i això ha impulsat el creixement del panorama de les amenaces. L'amenaça d'atacs de programari maliciós és més real que mai.

Un exemple perfecte d'atac de programari maliciós als sistemes Linux és el ransomware Erebus, un programari maliciós per xifrar fitxers que va afectar prop de 153 servidors Linux de NAYANA, una empresa d'allotjament web de Corea del Sud.

Per aquest motiu, és prudent endurir encara més el sistema operatiu per donar-li la seguretat tant desitjada per salvaguardar les vostres dades.

Consells d'enduriment del servidor Linux

Protegir el vostre servidor Linux no és tan complicat com podríeu pensar. Hem compilat una llista de les millors polítiques de seguretat que cal implementar per reforçar la seguretat del vostre sistema i mantenir la integritat de les dades.

En les etapes inicials de l'incompliment d'Equifax, els pirates informàtics van aprofitar una vulnerabilitat àmpliament coneguda, Apache Struts, al portal web de reclamacions dels clients d'Equifax.

Apache Struts és un marc de codi obert per crear aplicacions web Java modernes i elegants desenvolupades per la Fundació Apache. La Fundació va publicar un pedaç per solucionar la vulnerabilitat el 7 de març de 2017 i va emetre una declaració en aquest sentit.

Equifax va rebre una notificació de la vulnerabilitat i se'ls va aconsellar que pedessin la seva aplicació, però malauradament, la vulnerabilitat va romandre sense pegat fins al juliol del mateix any, moment en què era massa tard. Els atacants van poder accedir a la xarxa de l'empresa i exfiltrar milions de registres confidencials de clients de les bases de dades. Quan Equifax va saber què estava passant, ja havien passat dos mesos.

Aleshores, què podem aprendre d'això?

Els usuaris maliciosos o els pirates informàtics sempre investigaran al vostre servidor possibles vulnerabilitats de programari que després poden aprofitar per infringir el vostre sistema. Per estar segur, actualitzeu sempre el vostre programari a les seves versions actuals per aplicar pegats a qualsevol vulnerabilitat existent.

Si esteu executant sistemes basats en Ubuntu o Debian, el primer pas sol ser actualitzar les vostres llistes de paquets o repositoris tal com es mostra.

$ sudo apt update

Per comprovar si hi ha tots els paquets amb actualitzacions disponibles, executeu l'ordre:

$ sudo apt list --upgradable

Actualitzeu les vostres aplicacions de programari a les seves versions actuals tal com es mostra:

$ sudo apt upgrade

Podeu concatenar aquests dos en una ordre com es mostra.

$ sudo apt update && sudo apt upgrade

Per a RHEL i CentOS, actualitzeu les vostres aplicacions executant l'ordre:

$ sudo dnf update ( CentOS 8 / RHEL 8 )
$ sudo yum update ( Earlier versions of RHEL & CentOS )

Una altra opció viable és configurar actualitzacions automàtiques per a CentOS/RHEL.

Malgrat el seu suport per a una infinitat de protocols remots, serveis heretats com rlogin, telnet, TFTP i FTP poden suposar grans problemes de seguretat per al vostre sistema. Es tracta de protocols antics, obsolets i insegurs on les dades s'envien en text sense format. Si existeixen, considereu eliminar-los tal com es mostra.

Per als sistemes basats en Ubuntu/Debian, executeu:

$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server

Per als sistemes basats en RHEL/CentOS, executeu:

$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv

Un cop hàgiu eliminat tots els serveis insegurs, és important escanejar el vostre servidor per buscar ports oberts i tancar els ports no utilitzats que els pirates informàtics puguin utilitzar com a punt d'entrada.

Suposem que voleu bloquejar el port 7070 al tallafoc UFW. L'ordre per a això serà:

$ sudo ufw deny 7070/tcp

A continuació, torneu a carregar el tallafoc perquè els canvis tinguin efecte.

$ sudo ufw reload

Per Firewalld, executeu l'ordre:

$ sudo firewall-cmd --remove-port=7070/tcp  --permanent

I recordeu tornar a carregar el tallafoc.

$ sudo firewall-cmd --reload

A continuació, comproveu les regles del tallafoc tal com es mostra:

$ sudo firewall-cmd --list-all

El protocol SSH és un protocol remot que us permet connectar-vos de manera segura als dispositius d'una xarxa. Tot i que es considera segur, la configuració predeterminada no és suficient i es requereixen alguns ajustaments addicionals per dissuadir encara més els usuaris maliciosos de violar el vostre sistema.

Tenim una guia completa sobre com endurir el protocol SSH. Aquests són els principals punts destacats.

  • Configura l'inici de sessió SSH sense contrasenya i activa l'autenticació de clau privada/pública.
  • Desactiva l'inici de sessió arrel remot SSH.
  • Desactiveu els inicis de sessió SSH dels usuaris amb contrasenyes buides.
  • Desactiveu completament l'autenticació de contrasenya i seguiu l'autenticació de clau privada/pública SSH.
  • Limita l'accés a usuaris SSH específics.
  • Configura un límit per als intents de contrasenya.

Fail2ban és un sistema de prevenció d'intrusions de codi obert que protegeix el vostre servidor dels atacs de força bruta. Protegeix el vostre sistema Linux prohibint les IP que indiquen activitat maliciosa, com ara massa intents d'inici de sessió. Fora de la caixa, s'envia amb filtres per a serveis populars com ara el servidor web Apache, vsftpd i SSH.

Tenim una guia sobre com configurar Fail2ban per reforçar encara més el protocol SSH.

La reutilització de contrasenyes o l'ús de contrasenyes febles i senzilles soscava molt la seguretat del vostre sistema. Si apliqueu una política de contrasenyes, utilitzeu pam_cracklib per establir o configurar els requisits de seguretat de la contrasenya.

Mitjançant el mòdul PAM, podeu definir la força de la contrasenya editant el fitxer /etc/pam.d/system-auth. Per exemple, podeu configurar la complexitat de la contrasenya i evitar la reutilització de les contrasenyes.

Si teniu un lloc web, assegureu-vos sempre de protegir el vostre domini mitjançant un certificat SSL/TLS per xifrar les dades intercanviades entre el navegador dels usuaris i el servidor web.

Un cop hàgiu xifrat el vostre lloc, considereu també desactivar els protocols de xifratge febles. En el moment d'escriure aquesta guia, l'últim protocol és TLS 1.3, que és el protocol més comú i utilitzat. Les versions anteriors, com ara TLS 1.0, TLS 1.2 i SSLv1 a SSLv3, s'han associat amb vulnerabilitats conegudes.

[També us pot agradar: Com habilitar TLS 1.3 a Apache i Nginx]

Aquest era un resum d'alguns dels passos que podeu fer per garantir la seguretat i la privadesa de les dades del vostre sistema Linux.