Primeros Pasos para Asegurar tu Servidor Centos

admin

November 13, 2016

Linux

No Comment

Acabas de instalar o de rentar un LAMP para administrarlo y quieres empezar a instalarle cosas y configurarlo para levantar sus asombrosas aplicaciones, lo sé, pero para tu carro un poco, primero hay que asegurar el perímetro.

Son tres pasos básicos:

1. Configurar un usuario administrador

No es buena práctica entrar directamente como root, pues las opciones no están restringidas a él. Para mayor seguridad crearemos un usuario.

2. Limitar el acceso ssh

No todos los usuarios deberán tener acceso por ssh, algunos solo utilizaran FTP u otros servicios. Solamente aquellos que puedan administrar el sistema deberían poder entrar.
También deshabilitaremos root, puesto que los hackers (mejor dicho los script kiddies que intentan ataques por fuerza bruta) lo primero que harán será querer entrar como root.

3. Cambiar el puerto ssh

Esto no es por “seguridad por oscuridad”, es por performance. Una vez que los script kiddies sepan tu ip van a estar dale que te pego todo el día queriendo entrar por ssh. Para evitarle a nuestro servidor esta carga extra e innecesaria de estar autenticando todos los ataques brute force, mejor cambiemos el puerto de una vez.

Comencemos:

Paso 1: Crear un administrador

Se supone que somos root, así simplemente tecleamos:

$ adduser username

Cambiamos “username” por el nombre de tu usuario. Hazlo poco común, por favor, por que los black hats tratarán de adivinar tu nombre de inicio de sesión.
Luego tecleamos:

$ passwd username

Para cambiar el password.

Genial, ya tenemos nuestro usuario, ahora demosle permisos de administrador:

$ visudo

Esto abrirá el archivo “sudoers.tmp”. Los sudoers en realidad son un grupo especial de usuarios, que hay que habilitar. En Centos, se llama wheel. Ve a la que dice:

## Allows people in group wheel to run all commands
# %wheel        ALL=(ALL)       ALL

Ahora descomenta la línea que dice comienza con “# %wheel” para habilitar este grupo.
El editor es Vim, así que teclea “i” para poder modificar, luego cuando termines, teclea “ESC”, luego “:w” para guardar y por último “:x” para salir.

Genial. Ahora vamos a agregar al usuario al grupo de sudoers:

$ usermod -aG wheel username

Cambiar “username” por el nombre de usuario, claro. Listo, ahora ya tenemos a nuestro usuario administrador. Acto seguido limitaremos los accesos para ssh y aseguraremos el acceso a este usuario.

Paso 2: Limitar el acceso por ssh

Modificaremos el archivo de configuración de ssh

$ vi /etc/ssh/sshd_config

Busca la siguente línea:

PermitRootLogin yes

Cambiala por esta:

PermitRootLogin no

Con esto deshabilitamos el ingreso via root al servidor.

Ahora, al final del archivo, ingresa la siguiente línea:

AllowUsers username

Paso 3: Usar un puerto no estándar

En el mismo archivo, busca esta línea:

Port 22

Cambiala por:

Port 55123

Puedes usar otro puerto si quieres, basta con que no sea el 22 o 2222 que son los más comunes para configurar ssh.

Ahora reiniciaremos el servicio ssh:

$ service sshd restart

Por ultimo debemos configurar iptables para que bloquee el puerto 22 y permita el tráfico por el puerto 55123

$ iptables -I INPUT 1 -p tcp --dport 22 -j DROP
$ iptables -I INPUT 2 -p tcp --dport 55123 -j ACCEPT
$ service iptables save

Listo, puedes estar más tranquilo, aunque no pienses que es todo lo que debes hacer, la seguridad es cosa seria y es estar en la trinchera permanentemente, pero con esto te quitas los problemas más comunes, para poder enfocarte en cosas más serias.

Saludos!
L.

Related Posts

Instalar wkhtmltopdf en Centos 6

admin

March 24, 2016

Linux

2 Comments

El siguiente script instalará wkhtmltopdf en linux Centos 6: [bash] yum install -y xorg-x11-fonts-75dpi yum install -y xorg-x11-fonts-Type1 yum install -y libXext wget http://download.gna.org/wkhtmltopdf/0.12/0.12.2.1/wkhtmltox-0.12.2.1_linux-centos6-amd64.rpm rpm -Uvh wkhtmltox-0.12.2.1_linux-centos6-amd64.rpm yum install -y urw-fonts [/bash] Entonces podemos utilizarlo de esta manera: [bash] wkhtmltopdf http://google.com google.pdf [/bash] Related

Read More

Permitiendo .htaccess en linux Centos 6

admin

March 24, 2016

apache, Linux

No Comment

**IMPORTANTE** No es recomendable utilizar .htaccess por default, sin embargo, hay casos en los que es necesario habilitarlos, como cuando no tienes acceso a root pero necesitas administrar un directorio o cuando programas aplicaciones que necesitan redireccionamiento (MVC por ejemplo). Para habilitarlo necesitamos modificar los directorios en apache, agregando estas líneas: Options FollowSymLinks AllowOverride All […]

Read More

Leave a Reply

Your email address will not be published. Required fields are marked *

Busca en el blog aqui

Herramientas Útiles

Suscribete al blog

Recibe en tu correo las últimas publicaciones

Publicidad

Sígueme en Twitter