¿Tienes un servidor Linux en casa? Así debes protegerlo para evitar ataques

Escrito por Rubén Velasco

Tener un pequeño servidor Linux en nuestra casa es algo cada vez más común entre los usuarios. Estos servidores pueden utilizarse como centros multimedia, para alojar algún servicio (como VPN o una web personal) e incluso para tener nuestro propio servidor de archivos conectado a la red para que cualquier usuario en LAN pueda acceder a ellos, e incluso poder conectarnos nosotros de forma remota y acceder a ellos.

Un servidor Linux podemos montarlo casi en cualquier dispositivo, desde en un ordenador viejo que tengamos hasta en un NAS e incluso en un Raspberry Pi, el micro-ordenador de mayor éxito a nivel mundial. Si configuración no esconde ninguna dificultad y, además, podemos elegir si queremos tener nuestro propio servidor instalado y configurado desde cero, como un Ubuntu Server, u optar por otros sistemas específicos, como Open Media Vault o FreeNAS, ya diseñados para un funcionamiento óptimo.

Donde debemos poner mayor atención es a la hora de proteger nuestro servidor Linux de manera que ninguna persona no autorizada pueda acceder a él, además de evitar que un posible fallo de seguridad, o de configuración, nos ponga en peligro.

A continuación os vamos a dar unos sencillos consejos con los que podremos proteger nuestro servidor Linux casero para poder usarlo con total seguridad.

Cómo proteger un servidor Linux casero

Utiliza una distribución con soporte y fiable

Aunque podemos encontrar una gran cantidad de distribuciones Linux en la red, no todas ofrecen la misma fiabilidad y tienen el mismo soporte. Cuando hablamos de algo tan crítico como un servidor, aunque sea para uso doméstico, es recomendable optar por una distro pura, fiable y con buen mantenimiento y soporte, como Ubuntu o Debian, o por algún firmware basado en Linux especialmente diseñado para NAS, como Open Media Vault, FreeNAS o XigmaNAS.

Además, es muy importante descargar estas distros siempre desde sus páginas web oficiales, evitando descargar una versión que haya sido modificada sin saberlo y pueda ocultar, por ejemplo, una backdoor o un troyano.

Cuando más minimalista, mejor

Cuando hablamos de sistemas operativos Linux para un ordenador las primeras que nos vienen a la cabeza son distros como Ubuntu o Linux Mint, distribuciones pensadas sobre todo para facilitar la usabilidad pero que no son ideales para usar en un servidor.

A la hora de elegir un Linux para usar en un servidor es recomendable elegir un sistema lo más minimalista posible, que venga con lo necesario para arrancar y al que nosotros podamos instalar los paquetes que realmente necesitemos. Ubuntu Server, CentOS o Arch Linux son 3 excelentes opciones a tener en cuenta, además de los firmware para NAS Open Media Vault, FreeNAS o XigmaNAS.

Cuantos menos paquetes tenga la distro por defecto mucho mejor, ya que tendrá un mejor rendimiento al no malgastar recursos y, además, habrá menos probabilidades de que un fallo en una librería o aplicación pueda poner en peligro todo nuestro sistema.

Hay que estar siempre a la última

También es muy importante estar pendientes de las actualizaciones, tanto del propio Linux como de cualquier paquete o aplicación instalada en el sistema, de manera que las probabilidades de caer en las garras de un pirata informático sean las menos posible.

Lo ideal es programar actualizaciones del sistema y las aplicaciones para cada semana de manera que, aunque la mayoría de las semanas no tengamos que descargar nada, al menos se realicen las comprobaciones adecuadas.

¿Antivirus? No es necesario, pero un Firewall sí

Aunque existen antivirus para Linux, igual que existen los virus para Linux, si usamos el servidor con cuidado y solo descargamos aplicaciones de forma segura, lo más seguro es que no tengamos problema de malware y, por lo tanto, un antivirus solo gastará valiosos recursos en el sistema.

Lo que sí es recomendable instalar es un firewall, o mejor dicho, una aplicación que nos permite configurar fácilmente el firewall que incluye Linux por defecto en su Kernel. Gracias a una aplicación como «ufw» vamos a poder bloquear por defecto todos los puertos en nuestro servidor Linux y abrir exclusivamente los que necesitemos según el uso que vayamos a darle. Así evitaremos que piratas informáticos puedan atacar el servidor a través de puertos que no tenían por qué estar abiertos.

Eso sí, si vamos a usar el servidor para almacenar archivos, igual un antivirus sí puede sernos útil no para proteger Linux, sino para evitar guardar un virus de Windows que pueda poner en peligro el resto de ordenadores que se conecten a nuestro servidor.

Contraseñas y configuraciones de seguridad ante todo

Por último, no debemos olvidarnos de usar siempre contraseñas seguras, tanto para nuestro usuario como para el usuario SUDO de Linux que brinda permisos de superusuario. Si usamos contraseñas débiles seguramente una de las muchas botnets presentes en la red terminarán por sacar la contraseña de nuestro servidor por fuerza bruta, conectándose a él y poniendo en riesgo toda nuestra información.

Nuestro usuario no debe ser nunca «admin» ni «user», debe ser un usuario diferente, propio, llevar una contraseña segura y tener los permisos limitados según el uso que vayamos a hacer de él. El usuario SUDO debe tener una contraseña más larga y segura, si cabe, ya que de ceder sin querer el control de este usuario puede traernos muchos problemas. Incluso muchas veces merece la pena incluso deshabilitar root si no lo necesitamos.

Si tenemos servidores como SSH o FTP instalados en nuestro Linux es muy importante repasar la configuración de los mismos para configurarlos de forma segura y evitar posibles ataques informáticos y problemas de seguridad. Es necesario, por ejemplo, utilizar contraseñas seguras para facilitar el acceso y bloquear el acceso a los usuarios anónimos sin autenticación para que nadie pueda entrar al servidor sin permiso. En el caso de OpenSSH o un servidor VPN, por ejemplo, también es imprescindible contar con certificados seguros, certificados que no deben caer nunca en manos de otras personas.

Si queremos blindarnos frente a posibles intrusiones también podemos recurrir a los sistemas de doble autenticación, configurando un inicio de sesión en dos pasos en cualquier servidor Linux de manera que nadie, sin el código, pueda entrar a él, aunque tenga la correspondiente contraseña.