La Fundación Linux publica el checklist definitivo para asegurar tu equipo o servidor
La Fundación Linux ha lanzado el checklist definitivo que deberemos seguir para asegurar nuestro ordenador o servidor de amenazas externas, ya sean amenazas físicas (con intrusión física en la zona de equipos y servidores) o amenazas lógicas a través de la red local o Internet. Tanto para los usuarios y sobre todo los administradores de sistemas, este checklist se convertirá en fundamental para ti.
Cuando instalamos un nuevo equipo o servidor, debemos seguir siempre unas recomendaciones básicas de seguridad como por ejemplo colocarlo en un lugar seguro y alejado de intrusos físicos, además es recomendable incorporar una contraseña de administrador a la BIOS y que únicamente arranque desde el disco duro interno del equipo y no permita la carga desde dispositivos externos como DVD, memoria USB o discos duros externos.
En el largo documento que se ha publicado, tenemos diferentes niveles de seguridad (y por tanto de recomendación) que nos ayudará a decidir qué hacer.
- ESSENTIAL: este nivel de seguridad es el más básico y que siempre debería cumplirse, si no se ha implementado este tipo de seguridad tendremos un elevado riesgo de seguridad tanto en el ordenador como en los servidores que estamos administrando.
- NICE: este nivel de seguridad nos permite aumentar la seguridad de forma significativa, por lo que casi siempre será recomendable cumplirlo siempre que sea posible.
- PARANOID: el nivel de seguridad máximo, sólo apto para paranoicos de la seguridad y de una amplia experiencia ya que deberemos ajustar en detalle el sistema operativo haciendo un hardening en profundidad.
Recomendaciones en el hardware
Algunas recomendaciones esenciales (ESSENTIAL) en el hardware de nuestro equipo pasaría por ser compatible con SecureBoot, de esta forma estaremos protegidos frente a malware como rootkits. Asimismo también sería recomendable si no tenemos SecureBoot, la instalación de Anti Evil Maid que nos ofrecería la misma protección contra los tipos de ataques que SecureBoot se encarga de parar. Si además nuestro sistema no tiene firewire, Thunderbolt ni puerto ExpressCard mucho mejor para que no tengan acceso a la memoria, asimismo es recomendable incorporar un dispositivo TPM para aumentar aún más la seguridad física.
Recomendaciones en el boot (arranque)
Algunas recomendaciones básicas que debemos configurar en la BIOS es el arranque en modo UEFI, además es necesario incorporar una contraseña de administrador para acceder a la configuración de UEFI y protegernos de accesos no autorizados. Por último, y con el objetivo de aumentar la seguridad, si incorporamos una contraseña al arranque del ordenador para posteriormente arrancar el sistema operativo sería perfecto.
Recomendaciones en el sistema operativo y software
Por último, el checklist de seguridad se centra principalmente en la elección de un sistema operativo Linux robusto y fiable, compatible con tecnologías MAC/RBAC como SELinux/AppArmor/GrSecurity, que se actualice continuamente y lo antes posible así como que tenga soporte para UEFI y SecureBoot.
Os recomendamos visitar el checklist de seguridad (en inglés) en GitHub, asimismo también podéis acceder a nuestra sección de seguridad informática y Linux donde encontraréis manuales para asegurar vuestros equipos.
Os recomendamos leer el tutorial cómo configurar e instalar Vsftpd servidor FTP para Linux.