Aplicar un nivel básico de seguridad en servidor casero
DesconectadoBuen día, hace días me monte un servidor casero con debian lenny, el servidor es web y ftp, ya esta montado y funcionando (solo para mi, aun no lo hago publico).
Ahora lo que deseo es aplicarle seguridad a mi servidor, seria seguridad básica ya que de momento pues como es mi primera vez en esto de los servidores quiero empezar con lo básico, ya estoy leyendo temas en esta comunidad donde mencionan los siguientes puntos:
- Chequeo de puertos
- Instalación y configuración de firewall
- Conexiones seguras remotas en ssh
Actualmente eso me encuentro leyendo aquí en el foro y ampliando mas la información con búsquedas por la red.
Mis inquietudes serian estas, ¿Con esos temas/puntos basta para poder aplicar un nivel básico de seguridad en el servidor?, ¿La seguridad que busco va mas enfocada a nivel del sistema (debian) o a nivel de el servicio web y ftp (apache, mysql, proftpd) o en ambos (que con un poco de sentido común me supongo que seria a ambos, pero bueno, no esta de mas preguntar)?
Seria todo de momento, un saludo desde México y gracias de antemano
- Inicie sesión o regístrese para enviar comentarios
- 1410 lecturas
Te recomiendo darle una leida a la wiki de esDebian sobre seguridad.
Muchos han colaborado exhaustivamente y han puesto grandes documentos que seguro te serán de gran ayuda.
Saludos!
Pues dependerá mucho de lo paranoico que seas
Como básico básico yo montaría un firewall que permita conexiones al puerto 80 y 21 por cualquiera y al 22 solo para un PC (identificado por mac e ip por ejemplo) desde el que configurar tu servidor mediante ssh. Información al respecto:
http://www.linuca.org/body.phtml?nIdNoticia=99
http://www.esdebian.org/wiki/conceptos-firewaling-configuracion-elementa...
Puedes añadir una capa de seguridad ocultando el puerto 22 mediante port knocking:
http://www.esdebian.org/wiki/port-knocking
También es muy importante asegurar el resto de tu red de una posible intrusión en el servidor (y viceversa)
http://es.wikipedia.org/wiki/Zona_desmilitarizada_%28inform%C3%A1tica%29...
Asegurar físicamente el servidor, sistemas de detección de intrusos (http://www.snort.org/), si estás en una WLAN toma medidas básicas (desactiva dhcp, filtrado de mac's, clave WPA, baja el alcance del router, etc) y bueno, luego ya es protegerse contra ataques básicos y lo que surja (si te DoSean a buscarse la vida) y bueno, cosas básicas como cambiar passwords periódicamente, comprobar los logs, problemas de seguridad mmás propios de lo que alojes en tu servidor (XSS por ejemplo), manejarse con el apache bien para saber configurarlo, mantener el software actualizado, etc, etc
Hay muchos libros al respecto y yo tampoco es que sea ningún hacker, lo mejor que puedes hacer (mucho mejor que hacerme caso a mi xD) es leer unos cuantos libros de administración de servidores en GNU/Linux, Apache y seguridad básica y practicar...
Saludos!
Pues dependerá mucho de lo paranoico que seas
Como básico básico yo montaría un firewall que permita conexiones al puerto 80 y 21 por cualquiera y al 22 solo para un PC (identificado por mac he ip por ejemplo) desde el que configurar tu servidor mediante ssh. Información al respecto:
http://www.linuca.org/body.phtml?nIdNoticia=99
http://www.esdebian.org/wiki/conceptos-firewaling-configuracion-elementa...
Puedes añadir una capa de seguridad ocultando el puerto 22 mediante port knocking:
http://www.esdebian.org/wiki/port-knocking
También es muy importante asegurar el resto de tu red de una posible intrusión en el servidor (y viceversa)
http://es.wikipedia.org/wiki/Zona_desmilitarizada_%28inform%C3%A1tica%29...
Asegurar físicamente el servidor, sistemas de detección de intrusos (http://www.snort.org/), si estás en una WLAN toma medidas básicas (desactiva dhcp, filtrado de mac's, clave WPA, baja el alcance del router, etc) y bueno, luego ya es protegerse contra ataques básicos y lo que surja (si te DoSean a buscarse la vida) y bueno, cosas básicas como cambiar passwords periódicamente, comprobar los logs, problemas de seguridad mmás propios de lo que alojes en tu servidor (XSS por ejemplo), manejarse con el apache bien para saber configurarlo, mantener el software actualizado, etc, etc
Hay muchos libros al respecto y yo tampoco es que sea ningún hacker, lo mejor que puedes hacer (mucho mejor que hacerme caso a mi xD) es leer unos cuantos libros de administración de servidores en GNU/Linux, Apache y seguridad básica y practicar...
Saludos!
Trabajas para el Pentagono?
Jajajaja me gusta el asunto y en la universidad acabo de cursar redes cuyo último tema estaba destinado a la seguridad y ahora estoy matriculado en un laboratorio al respecto con prácticas sobre GNU/Linux, así que estoy en modo paranoico ON xDDDDDDDD
De todas formas no me parece excesivo tomar esas medidas de seguridad para un servidor que está de cara a internet...
Jajajaja me gusta el asunto y en la universidad acabo de cursar redes cuyo último tema estaba destinado a la seguridad y ahora estoy matriculado en un laboratorio al respecto con prácticas sobre GNU/Linux, así que estoy en modo paranoico ON xDDDDDDDD
De todas formas no me parece excesivo tomar esas medidas de seguridad para un servidor que está de cara a internet...
Y yo que pensaba que con un buen statefull iptables era suficiente, ahora estoy desconfiando de mis vecinos (veo caras de cracker's por todos lados).
Toda medida de seguridad que tomes respecto a tu server y máxime si en un futuro tu intención es publicarlo hacia la nube, es poca.
E0N ha estado muy acertado en sus indicaciones, que aunque te parezca o si a alguien le parece que se trata de medidas excesivas, te garantizo que se tratan de acciones fundamentales de cara a la seguridad. Por descontado que no son las únicas, pues aún se puede esgrimir si cabe la fortaleza del servidor y tu red.
Saludos
Toda medida de seguridad que tomes respecto a tu server y máxime si en un futuro tu intención es publicarlo hacia la nube, es poca.
E0N ha estado muy acertado en sus indicaciones, que aunque te parezca o si a alguien le parece que se trata de medidas excesivas, te garantizo que se tratan de acciones fundamentales de cara a la seguridad. Por descontado que no son las únicas, pues aún se puede esgrimir si cabe la fortaleza del servidor y tu red.
Saludos
Correcto Quillo, pasa que como hablaban de un "servidor casero" me pareció un poquito excesivo.
Logicamente toda medida de seguridad hacia Internet es válida, solo comentaba esto porque me pareció que el autor del hilo buscaba algún punto de partida y nuestro amigo lo "tapo" de información útil y eso me causó gracia.
Nastardes.
Aupa!
Yo en mi equipo "servidor" que utilizo para descargas de internet y demas tambien estoy configurandolo poco a poco para mejorar la seguridad. Esto lo hago mas que nada por aprender, ya que el tema de sistemas me gusta y me entretiene bastante. Hasta ahora lo que he instalado y configurado es lo siguiente:
Fail2ban: para controlar el numero maximo de intentos de login para los diferentes servicios (por ejemplo el SSH). Con este programa he visto la cantidad de gente que intenta acceder al servidor, la verdad que me sorprendio.
DenyHosts: este programa va actualizando el archivo hosts.deny con ip's que tiene listadas en una web como "maliciosas".
Iptables: tengo un script medio hecho (esto lo tengo pendiente), ha falta de terminarlo del todo.
Snort: es lo ultimo que instale para detectar posibles ataques a la maquina.
Ademas instale una aplicacion (ahora no recuerdo el nombre) que te permite configurar la duracion de las sessiones de los usuarios y asi cerrarlas al de cierto tiempo, para no dejarlas abiertas.
Todavia tengo que ir mejorando cosas, pero de momento esto es lo que tengo.
Agur.