Checklist básico de post instalación en servidores linux

En los últimos tiempos, es cada vez mas común escuchar noticias de hackeos a páginas de internet y servicios. Y aunque ningún equipo es 100% seguro, es posible hacer un poco mas difícil que nuestros equipos sean vulnerados.

Un servicio seguro empieza con un servidor seguro, y hay pequeñas cosas que podemos hacer tras la instalación que harán mas difícil que nos hackeen. Este artículo está orientado a servidores linux, aunque los conceptos generales aplican para cualquier tipo de servidor.

Verifica que tengas acceso a consola.

Antes que cualquier cosa, debes verificar que puedas acceder al servidor a través de una consola física (si el servidor es físico) o virtual (si es un servidor remoto). Esta consola no es un acceso vía SSH, sino acceso directo al servidor.

Cambia la contraseña de root y luego olvídalo.

Utiliza un generador de contraseñas para crear una contraseña segura. Y guárdala en algún lugar seguro. Para ambas opciones me gusta usar keepass, que te permite almacenar tus contraseñas de manera segura y es compatible con Mac, Linux, Windows, Android y iOs.

Si es un servidor físico, establece y guarda la contraseña del bios

No se debe dejar de lado jamas la seguridad física.

Solamente habilita/instala los servicios que ocupes.

Cada servicio que habilitas es una superficie de ataque. Si no necesitas algo, no lo instales.

Habilita 1 usuario administrador y dale acceso a elevación de privilegios vía sudo.

El uso de root debe ser esporádico y usualmente no es indispensable. Puedes establecer escalación de privilegios controlada mediante el uso de sudo.

Deshabilita el acceso por password en ssh, habilita el acceso por llaves y deshabilita el acceso de root, y cambia el puerto de acceso.

El servicio SSH es el servicio mas atacado, por mucho. Puedes hacer mas difícil el ataque permitiendo solamente el acceso a través de intercambio de llaves. Ademas, cambiando el puerto minimizaras los ataques automatizados.

Habilita denyhosts, fail2ban o similares.

Los ataques automáticos son terriblemente comunes. Minimízalos bloqueando a los accesos erróneos múltiples. Denyhosts es una excelente herramienta para esto.

Habilita el firewall con los servicios mínimos necesarios.

Un firewall minimizará en mucho la superficie de ataque, y hará mas difícil las conexiones salientes, que suelen ser usadas para fines maliciosos. Iptables es el mas común, pero puedes utilizar alguna interfaz para hacerlo mas sencillo.

De ser posible habilita el log remoto.

Un log remoto te permitirá realizar análisis en caso de algún problema, sin que tu atacante pueda borrar los rastros. Rsyslog es el mas común, aunque hay servicios de paga que te lo hacen todo muy fácil, como splunk.

Activa los respaldos.

Si todo falla, debes tener manera de recuperar tu servicio de manera rápida. Como mínimo, habilita respaldos para configuración, aplicaciones y datos.

Documenta todo lo realizado y dejalo accesible a los responsables.

Todo esto debería quedar por escrito, para facilitar la recuperación en caso de contingencia.

Este es solo un checklist básico, a partir de aquí hay mucho que hacer del lado de bases de datos, aplicaciones, actualizaciones, deployments, políticas, etc. pero debería ser un buen comienzo para elevar la dificultad de que alguien ataque exitosamente tus servicios.

Infraestructura Comentarios desactivados en Checklist básico de post instalación en servidores linux

Comentarios cerrados.