Acabas de instalar o de rentar un LAMP para administrarlo y quieres empezar a instalarle cosas y configurarlo para levantar sus asombrosas aplicaciones, lo sé, pero para tu carro un poco, primero hay que asegurar el perímetro.
Son tres pasos básicos:
No es buena práctica entrar directamente como root, pues las opciones no están restringidas a él. Para mayor seguridad crearemos un usuario.
No todos los usuarios deberán tener acceso por ssh, algunos solo utilizaran FTP u otros servicios. Solamente aquellos que puedan administrar el sistema deberían poder entrar.
También deshabilitaremos root, puesto que los hackers (mejor dicho los script kiddies que intentan ataques por fuerza bruta) lo primero que harán será querer entrar como root.
Esto no es por “seguridad por oscuridad”, es por performance. Una vez que los script kiddies sepan tu ip van a estar dale que te pego todo el día queriendo entrar por ssh. Para evitarle a nuestro servidor esta carga extra e innecesaria de estar autenticando todos los ataques brute force, mejor cambiemos el puerto de una vez.
Comencemos:
Se supone que somos root, así simplemente tecleamos:
$ adduser username
Cambiamos “username” por el nombre de tu usuario. Hazlo poco común, por favor, por que los black hats tratarán de adivinar tu nombre de inicio de sesión.
Luego tecleamos:
$ passwd username
Para cambiar el password.
Genial, ya tenemos nuestro usuario, ahora demosle permisos de administrador:
$ visudo
Esto abrirá el archivo “sudoers.tmp”. Los sudoers en realidad son un grupo especial de usuarios, que hay que habilitar. En Centos, se llama wheel. Ve a la que dice:
## Allows people in group wheel to run all commands # %wheel ALL=(ALL) ALL
Ahora descomenta la línea que dice comienza con “# %wheel” para habilitar este grupo.
El editor es Vim, así que teclea “i” para poder modificar, luego cuando termines, teclea “ESC”, luego “:w” para guardar y por último “:x” para salir.
Genial. Ahora vamos a agregar al usuario al grupo de sudoers:
$ usermod -aG wheel username
Cambiar “username” por el nombre de usuario, claro. Listo, ahora ya tenemos a nuestro usuario administrador. Acto seguido limitaremos los accesos para ssh y aseguraremos el acceso a este usuario.
Modificaremos el archivo de configuración de ssh
$ vi /etc/ssh/sshd_config
Busca la siguente línea:
PermitRootLogin yes
Cambiala por esta:
PermitRootLogin no
Con esto deshabilitamos el ingreso via root al servidor.
Ahora, al final del archivo, ingresa la siguiente línea:
AllowUsers username
En el mismo archivo, busca esta línea:
Port 22
Cambiala por:
Port 55123
Puedes usar otro puerto si quieres, basta con que no sea el 22 o 2222 que son los más comunes para configurar ssh.
Ahora reiniciaremos el servicio ssh:
$ service sshd restart
Por ultimo debemos configurar iptables para que bloquee el puerto 22 y permita el tráfico por el puerto 55123
$ iptables -I INPUT 1 -p tcp --dport 22 -j DROP $ iptables -I INPUT 2 -p tcp --dport 55123 -j ACCEPT $ service iptables save
Listo, puedes estar más tranquilo, aunque no pienses que es todo lo que debes hacer, la seguridad es cosa seria y es estar en la trinchera permanentemente, pero con esto te quitas los problemas más comunes, para poder enfocarte en cosas más serias.
Saludos!
L.
admin
November 13, 2016
Linux
No Comment