¿Cómo asegurar un servidor de Ubuntu 16.04 LTS - Parte 1 Los fundamentos
Esto es puramente un
proyecto experimental de personal en este punto y debe ser
considerado como un trabajo en progreso.
Endurecer la seguridad en un servidor de Ubuntu LTS 16.04 mediante
la instalación y configuración de lo siguiente:
-
Instalar y configurar Firewall - ufw
-
Asegure memoria compartida - fstab
-
SSH - Clave de acceso basada, desactivar la conexión de la raíz y el puerto de cambio
-
Apache SSL - soporte SSL v3 Desactivar
-
Proteja su limitando el acceso únicamente al grupo de administración
-
Harden red con la configuración de sysctl
-
Deshabilita la recursividad de DNS abrirse y quitar Version Info - DNS Bind9
-
Prevenir IP Spoofing
-
Harden PHP para la seguridad
-
Restringir la fuga de información de Apache
-
Instalar y configurar el servidor de seguridad de aplicaciones Apache - ModSecurity
-
Proteger de DDoS (denegación de servicio) ataca con ModEvasive
-
Comprobar los Registros y prohibir anfitriones sospechosas - DenyHosts y Fail2Ban
-
Detección de Intrusión - drogas psicoactivas
-
Compruebe si hay rootkits - rkhunter y chkrootkit
-
Escanear puertos abiertos - Nmap
-
Analizar archivos de registro del sistema - LogWatch
-
SELinux - Apparmor
-
Auditar la seguridad del sistema - Tigre y
Tripwire
-
Ubuntu 16.04 LTS o posterior con un servidor LAMP estándar
instalado.
1. Firewall - UFW
-
Un buen punto de partida es la instalación de un servidor de seguridad.
-
UFW - Sin complicaciones Firewall es un firewall básico que funciona muy bien y fácil de configurar con su herramienta de configuración de Firewall - gufw, o el uso de Shorewall, fwbuilder, o Ojos de fuego.
-
Firestarter usar interfaz gráfica de usuario para configurar el servidor de seguridad o consulte la Guía de Ubuntu Server , páginas del manual UFW o la documentación de la comunidad Ubuntu UFW .
-
Instalar y habilitar UFW, abra una ventana de terminal y
escriba:
sudo apt-get install ufw
-
Permitir que los servicios SSH y HTTP.
sudo ufw allow ssh sudo ufw allow http
-
Activar el cortafuegos.
sudo ufw enable
-
Compruebe el estado del servidor de seguridad.
sudo ufw status verbose
2. Asegure la memoria compartida.
-
La memoria compartida se puede utilizar en un ataque contra un servicio en ejecución. Modificar / etc / fstab para que sea más seguro.
-
Abra una ventana de terminal y escriba lo siguiente:
sudo nano / etc / fstab
-
Agregue la siguiente línea y guardar. Tendrá que reiniciar el sistema para que los cambios surtan efecto:
-
Nota: Esto sólo se trabaja en Ubuntu 12.10 o posterior - Para versiones anteriores de Ubuntu reemplazar /run/shm con /dev/shm
-
Guardar y reiniciar cuando se hace
tmpfs /run/SHM TMPFS defaults , noexec, nosuid 0 0
3. El endurecimiento de SSH - inicio de sesión basada en una clave, desactivar la conexión de la raíz y cambiar el puerto.
-
La mejor manera de asegurar SSH es utilizar entrada de clave pública / privada basada. Ver SSH / OpenSSH / teclas
-
Si usted tiene que utilizar la autenticación de contraseña, la forma más fácil de asegurar SSH es desactivar la conexión de la raíz y cambiar el puerto SSH a algo diferente que el puerto estándar 22.
-
Antes de desactivar la conexión de la raíz a crear un nuevo usuario SSH y asegúrese de que el usuario pertenece al grupo de administración (ver paso 4. Continuación en relación con el grupo de administración).
-
si cambia el puerto SSH a mantener el número de puerto por debajo de 1024 ya que estos son puertos privilegiados que sólo pueden ser abiertos por la raíz o procesos que se ejecutan como root.
-
Si cambia el puerto SSH también abrir el nuevo puerto que ha elegido en el servidor de seguridad y cerca del puerto 22.
-
Abra una ventana de terminal y escriba:
sudo nano /etc/ssh/sshd_config
-
Cambiar o añadir lo siguiente y guardar.
Port <ENTRAR SU PUERTO> Protocolo 2 PermitRootLogin no DebianBanner no
-
Reiniciar servidor SSH, abrir una ventana de terminal y
escriba:
sudo /etc/init.d/ssh restart
No hay comentarios:
Publicar un comentario