Hardening de Servidores Linux: las prácticas esenciales para una gestión eficaz

Mejores prácticas para el hardening de servidores Linux

Un resumen de las prácticas que se pueden considerar como esenciales para una gestión mucho más segura de los servidores. Todas ellas, se pueden llevar a la práctica con rapidez y no necesitan demasiados pasos extra de configuración o instalación.

Evita utilizar servicios como FTP o Telnet

Los servidores Linux admiten servicios y protocolos como FTP, Telnet o RSH entre otros muchos que no son seguros, y existen riesgos de que un sniffer de paquetes sea capaz de capturar todo el tráfico de datos, incluyendo la información de autenticación porque se realiza sin ningún tipo de cifrado. Por supuesto, cualquier archivo o comando que nosotros transfiramos o ejecutemos, se podrá ver sin ningún problema. Sin embargo, un sniffer de paquetes no funciona por sí solo, sino más bien, se vale de cualquier usuario que se encuentre dentro de una determinada red. Una solución típica que se suele utilizar son protocolos seguros como SSH para ejecutar comandos de manera remota, o usar SFTP (SSH FTP) para transferir archivos de forma segura, e incluso FTPES (FTP con TLS) para hacer esto mismo. Si vas a utilizar un servidor SSH, os recomendamos leer nuestro tutorial para configurar el servidor OpenSSH con la máxima seguridad.

Debemos vigilar que en nuestro servidor u ordenador con Linux no tengamos ninguno de estos servidores instalados, siempre y cuando no los estemos utilizando para una determinada tarea. Por ejemplo, en sistemas operativos Linux basados en Debian o Ubuntu, puedes usar el siguiente comando para desinstalar todos estos servicios:

Como vemos un poco más arriba, con un solo comando podemos borrar prácticamente todos los servidores con protocolos y servicios que pueden representar un gran número de amenazas de seguridad.

Instalar la menor cantidad de software posible

Cuanto menos software y/o servicios tengamos instalados en nuestro servidor, las posibilidades de que haya una vulnerabilidad en el software que haga que un cibercriminal tome el control de nuestro equipo disminuye drásticamente. En sistemas operativos Linux como Debian o Ubuntu, puedes sacar un listado completo de los paquetes instalados, para posteriormente desinstalar los que no sean necesarios.

Puedes utilizar al paquete de apt-get/dkpg para borrar cualquier servicio o aplicación que no sea estrictamente necesario para tu servidor Linux:

Mantener actualizado al kernel y el software de Linux

Una de las razones de más peso para mantener actualizado todo el software de nuestro equipo, así como los paquetes fundamentales del sistema operativo, es la seguridad. Manteniendo nuestro servidor con las actualizaciones más recientes, garantizamos la disponibilidad de los parches de seguridad para protegernos de las principales amenazas. De nuevo, podemos valernos del gestor de paquetes apt-get o dpkg:

Configurar Password Aging para los usuarios Linux

Hay un comando que te permite cambiar el número de días entre cambios de contraseñas y la fecha del último cambio de contraseña. Este comando es el chage. Básicamente, lo que se logra con este comando ese determinar cuándo un usuario debería cambiar su contraseña. Es decir, cuánto tiempo tiene de vigencia determinada contraseña establecida por el usuario en cuestión:

Este comando nos permite deshabilitar el Password Aging:

Si necesitas obtener información respecto a la expiración de contraseña de un usuario determinado, escribe lo siguiente:

El siguiente comando, te permite cambiar varios atributos relacionados a la gestión del cambio de las contraseñas:

Hagamos un pequeño desglose de este comando y sus parámetros de ejemplo:

• -M: se refiere a la máxima cantidad de días en que esa contraseña es válida.
• -m: se refiere a la mínima cantidad de días que requieren que pasen entre eventos de cambios de contraseña.
• -W: la cantidad de días en que se notifica al usuario con anticipación respecto a la necesidad de cambiar la contraseña
• nombreUsuario: el nombre del usuario Linux que estamos gestionando

Bloqueo de usuarios después de varios intentos de acceso fallidos

El comando faillog te permite desplegar el historial completo de los inicios de sesión fallidos. Además, con unos cuantos parámetros podrás limitar la cantidad de inicios fallidos que podrá tener el usuario. He aquí unos casos de uso:

Para desplegar el historial de los inicios de sesión fallidos:

Para desbloquear un usuario bloqueado por intentos fallidos:

Bloquear un usuario determinado:

Desbloquear un usuario determinado:

Deshabilitar servicios innecesarios en segundo plano

Además de aumentar la seguridad, se garantiza la disponibilidad de recursos para los servicios que realmente lo necesitan. A continuación, te mostramos el comando que despliega todos los servicios que empiezan a correr desde el inicio de sesión en el nivel 3 de ejecución:

Si necesitas deshabilitar algún servicio determinado, escribe el siguiente comando:
service serviceName stop
chkconfig serviceName off

• La primera línea (stop) sirve para detener los servicios
• La segunda línea (off) sirve para deshabilitar los servicios
• serviceName hace referencia al servicio en cuestión

Identifica todos los puertos abiertos

Utiliza el siguiente comando para que se despliegue el listado de todos los puertos que están abiertos, además de los programas asociados:

O bien:

Separar las particiones de disco

Si apartamos los archivos relacionados al sistema operativos de aquellos archivos que son de los usuarios, añadimos mayor nivel de seguridad en general ya que podremos realizar copias de seguridad de la partición entera de manera mucho más fácil. Si por ejemplo, queremos únicamente guardar todas las configuraciones del usuario, bastaría con hacer un backup de /home. Para que tengas en cuenta, éstos son los archivos de sistema que deberían estar en particiones de disco separadas:

• /usr
• /home
• /var and /var/tmp
• /tmp

Utilizar un servicio de autenticación centralizado

Las ventajas de implementar autenticación centralizada implican un control más sencillo de todas las cuentas Linux/UNIX asociadas al servidor, además de los propios datos de autenticación. También te permiten mantener los datos de autenticación (auth data) sincronizados entre servidores.

Una sugerencia es la implementación de OpenLDAP, la cual tiene toda la documentación necesaria respecto a la instalación e implementación. Es totalmente abierto y por supuesto, está disponible para su descarga gratuita.

De no contar con autenticación centralizada, se pierde tiempo controlando los distintos métodos de autenticación, lo que puede implicar la aparición de credenciales desactualizadas y cuentas de usuario que deberían haberse borrado hace tiempo.

Utilización de un firewall IDS/IPS (Sistemas de Detección/Prevención de Intrusiones)

Tener en nuestro equipo un firewall es algo fundamental para controlar en detalle el tráfico entrante y saliente, Linux por defecto incorpora iptables, aunque en las últimas versiones de Linux tenemos disponible nftables que es la evolución del popular iptables. Gracias a este firewall, podremos controlar en detalle todo el tráfico que va hacia el servidor y que sale desde el servidor.

Un sistema de detección de intrusiones nos ayuda a detectar actividad maliciosa o sospechosa como los ataques DDoS, los escaneos de puertos o intentos de crackeo a los ordenadores para monitorear el tráfico de red que generan. Un pase a producción de sistemas que sea exitoso y seguro necesita de una revisión de integridad de software y esto es posible mediante los sistemas IDS.

En RedesZone recomendamos a Snorter, el cual es una herramienta de apoyo para facilitar la instalación y gestión de Snort. Éste es un sistema de detección de intrusiones, que tiene como adición un sistema de prevención de intrusiones (IPS). Esto último agrega una capa mayor de protección a los servidores ante las constantes amenazas.

Fail2ban o denyhost también las puedes considerar como opciones válidas y prácticas para implementar un sistema de tipo IDS. Ahora bien, para instalar Fail2ban escribe los siguientes comandos:

Edita los archivos de configuración de acuerdo a lo que necesitas:

Una vez que hayas terminado, reinicias el servicio:

Deshabilitar dispositivos USB/firewire/thunderbolt

Este es el comando que te permitirá deshabilitar dispositivos USB en tu servidor Linux:

El mismo método se puede aplicar para la inhabilitación de los dispositivos thunderbolt:

Así también, los dispositivos firewire:

Utiliza VPN para conectarte al servidor o al entorno de administración

Hoy en día utilizar servidores VPN es fundamental, si tenemos varios servidores dedicados o VPS en una misma red de administración, podremos hacer uso de un servidor VPN para acceder a toda la plataforma de manera segura. Dos softwares muy interesantes son tanto OpenVPN como WireGuard, os recomendamos visitar nuestros completos tutoriales para configurar los servidores VPN con la máxima seguridad.

Con esta medida de seguridad, se prevendrá la posibilidad de que cualquier usuario quiera copiar archivos de parte del servidor Linux a un dispositivo USB, firewire o thunderbolt. ¿Te gustarían más tutoriales cómo este? Cuéntanos tus sugerencias en los comentarios.