Si bien Linux se considera seguro de inmediato, es recomendable seguir el mejor método de la industria para proteger su servidor. Por ejemplo, necesita actualizar sus aplicaciones de software con regularidad, utilizar contraseñas seguras e instalar un cortafuegos fuerte para proteger su sistema de los piratas informáticos.
Si está ejecutando Ubuntu 18.04 LTS (Bionic Beaver) en un VPS de Linux, puede aprovechar varias configuraciones y herramientas conocidas para protegerlo contra ataques maliciosos.
Esta es una guía paso a paso sobre cómo mejorar la seguridad de su servidor VPS Ubuntu 18.04.
requisitos
- Un servidor Ubuntu 18.04
- Acceso root a su servidor
Consejo 1: utilice el par de claves de autenticación para iniciar sesión en su servidor
Acceder a su servidor Linux con una combinación de nombre de usuario y contraseña puede abrir puertas a los piratas informáticos si no ha establecido una contraseña segura. Recuerde, las personas malintencionadas usan bots que intentan hacer cumplir brutalmente sus contraseñas. Esto puede resultar extremadamente peligroso.
El uso de una clave privada / pública se considera seguro porque las claves son muy difíciles de adivinar. Puede generar las claves de autenticación utilizando una aplicación como PuTTY Key Generator.
Luego cargue la clave pública a su servidor Ubuntu ‘
Puede utilizar un editor de texto como nano para hacer esto. Primero, cree el directorio .ssh si no existe:
$ mkdir ~/.ssh $ nano ~/.ssh/authorized_keys
Consejo 2: cree un usuario no root con privilegios de sudo
Adquiera el hábito de iniciar sesión en su servidor Ubuntu 18.04 con una cuenta que no sea root. Esto evita la eliminación accidental de archivos si comete un error. Por ejemplo, el comando rm puede borrar todo su servidor si un usuario root lo ejecuta incorrectamente.
Ejecute los siguientes comandos en secuencia para crear un usuario no root con privilegios sudo.
$ sudo adduser <username>
Recuérdalo
Consejo 3: deshabilite el inicio de sesión de root remoto
Puede deshabilitar el inicio de sesión de root a través de SSH para que su Ubuntu 18.04 sea más seguro. Necesita editar el archivo de configuración SSH para realizar el cambio usando el siguiente comando:
$ sudo nano /etc/ssh/sshd_config
Entonces encontrarás el texto ‘PermitRootLogin ‘ y cambie el valor a no
PermitRootLogin no
Consejo 4: no permita la autenticación de contraseña SSH
La instrucción para deshabilitar la autenticación de contraseña aún se encuentra en el archivo / etc / ssh / sshd_config. Necesitas buscar la entrada Autenticación de contraseña y cambia su valor a No
PasswordAuthentication no
prensa CONTROL + X. y Y. para guardar los cambios. También deberá reiniciar el demonio SSH ejecutando el siguiente comando:
$ sudo service ssh restart
Consejo 5: instale un firewall
Linux tiene una utilidad muy flexible que puede utilizar para configurar las reglas de los cortafuegos. Esto se conoce como UFW (firewall sin complicaciones).
Con UFW, puede incluir fácilmente en la lista blanca los puertos que desea usar en su servidor. Dado que está accediendo a su servidor Linux a través de SSH, primero debe incluir el puerto 22 en la lista blanca con el siguiente comando:
$ sudo ufw allow ssh
Para que sus sitios web sean accesibles mediante los protocolos http y https, ejecute los dos comandos siguientes:
$ sudo ufw allow http
Y
$ sudo ufw allow https
Luego habilite el firewall escribiendo el siguiente comando en su consola:
$ sudo ufw enable
Si desea verificar el estado de UFW, haga lo siguiente:
$ sudo ufw status verbose
Consejo 6: almacenamiento compartido seguro
Para obtener la mejor seguridad de su servidor Ubuntu 18.04, debe habilitar el almacenamiento compartido seguro. La memoria compartida permite transferir datos entre aplicaciones. A veces, varios procesos pueden compartir el mismo espacio de memoria, lo que puede conducir a la explotación.
Hay una forma de evitar este tipo de exploit y debe hacerse montando / ejecutar / shm en modo de solo lectura. Para hacer esto, abra
$ sudo nano /etc/fstab
Luego, simplemente copie el siguiente texto y péguelo en la parte inferior del archivo:
none /run/shm tmpfs defaults,ro 0 0
Consejo 7: instale Fail2ban
Cualquier servidor de acceso público puede convertirse en un objetivo potencial para los piratas informáticos. Pueden intentar todo tipo de ataques a su servidor. La única forma de hacer sus intentos en vano es instalar Fail2Ban.
Fail2ban simplemente reduce los intentos de piratería mediante el uso de tablas de IP para prohibir que los usuarios intenten conectarse a su servidor en función de los intentos fallidos de inicio de sesión.
Para instalar Fail2ban:
$ sudo apt-get install fail2ban
Aunque la configuración predeterminada de Fail2ban puede funcionar según los requisitos de su servidor, puede editar el archivo de configuración de Fail2Ban. Los archivos .conf se leen primero, seguidos de los archivos .local. Por lo tanto, debe realizar cambios en los archivos .local y dejar intactos los archivos .conf.
Para editar el archivo jail.conf, cópielo en jail.local usando el siguiente comando:
$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Luego edite el nuevo archivo escribiendo:
$ sudo nano /etc/fail2ban/jail.local
En este archivo puede configurar el tiempo de bloqueo, el número máximo de reintentos, el tiempo de bloqueo, etc., según el nivel de seguridad que necesite.
Conclusión
Si bien esta no es una lista exhaustiva de todas las herramientas y configuraciones de seguridad que debe tener en su servidor Ubuntu 18.04, puede mantener su computadora a salvo de los piratas informáticos. Además, asegúrese de revisar las mejores prácticas para fortalecer varias aplicaciones que se ejecutan en su servidor Linux. Por ejemplo, podría considerar reforzar PHP, Apache y MySQl con estas aplicaciones de software instaladas en su sistema Ubuntu.
