Los sistemas Linux son seguros por diseño y proporcionan herramientas de administración sólidas. Pero no importa qué tan bien diseñado esté un sistema, su seguridad depende del usuario.

Los principiantes suelen tardar años en encontrar las mejores políticas de seguridad para sus máquinas. Es por eso que compartimos estos consejos esenciales de refuerzo de Linux para nuevos usuarios como usted. Pruébalos.

1. Aplicar políticas de contraseñas seguras

Las contraseñas son el método de autenticación principal para la mayoría de los sistemas. No importa si eres un usuario doméstico o un profesional, hacer cumplir contraseñas sólidas es imprescindible. Primero, desactive las contraseñas vacías. No creerá cuánta gente todavía los usa. 

awk -F: '($ 2 == "") {imprimir}' / etc / shadow

Ejecute el comando anterior como root para ver qué cuentas tienen contraseñas vacías. Si encuentra a alguien con una contraseña vacía, bloquee al usuario de inmediato. Puede hacer esto usando lo siguiente. 

passwd -l NOMBRE DE USUARIO
instagram viewer

También puede configurar la caducidad de la contraseña para asegurarse de que los usuarios no puedan usar contraseñas antiguas. Use el comando chage para hacer esto desde su terminal. 

chage -l NOMBRE DE USUARIO

Este comando muestra la fecha de vencimiento actual. Para configurar la caducidad de la contraseña después de 30 días, use el siguiente comando. Los usuarios pueden use administradores de contraseñas de Linux para mantener seguras las cuentas en línea.

Los 8 mejores administradores de contraseñas de Linux para mantenerse seguro

¿Necesita un administrador de contraseñas seguro para Linux? Estas aplicaciones son fáciles de usar y mantienen seguras sus contraseñas en línea.

chage -M 30 NOMBRE DE USUARIO

2. Copia de seguridad de datos esenciales

Si se toma en serio sus datos, configure copias de seguridad periódicas. De esta manera, incluso si su sistema falla, puede recuperar los datos rápidamente. Sin embargo, elegir el método de copia de seguridad correcto es crucial para el refuerzo de Linux.

Si eres un usuario doméstico, clonando los datos en un disco duro podría ser suficiente. Las empresas, sin embargo, necesitan sistemas de respaldo sofisticados que ofrezcan una recuperación rápida.

3. Evite los métodos de comunicación heredados

Linux admite muchos métodos de comunicación remota. Sin embargo, los servicios heredados de Unix como telnet, rlogin y ftp pueden plantear serios problemas de seguridad. Entonces, trate de evitarlos. Puede eliminarlos por completo para reducir los problemas de seguridad asociados con ellos. 

apt-get --purge eliminar xinetd nis tftpd tftpd-hpa telnetd \
> servidor-rsh servidor-rsh-rehecho

Este comando elimina algunos servicios ampliamente utilizados pero obsoletos de las máquinas Ubuntu / Debian. Si está utilizando un sistema basado en RPM, utilice lo siguiente en su lugar. 

yum borrar xinetd ypserv servidor tftp servidor telnet servidor rsh

4. Secure OpenSSH

El protocolo SSH es el método recomendado de comunicación remota para Linux. Asegúrese de proteger la configuración de su servidor OpenSSH (sshd). Usted puede Obtenga más información sobre cómo configurar un servidor SSH aquí..

Edite el /etc/ssh/sshd_config file para establecer políticas de seguridad para ssh. A continuación, se muestran algunas políticas de seguridad comunes que cualquiera puede usar. 

PermitRootLogin no # deshabilita el inicio de sesión de root
MaxAuthTries 3 # limita los intentos de autenticación
PasswordAuthentication no # deshabilita la autenticación de contraseña
PermitEmptyPasswords no # deshabilita las contraseñas vacías
X11 Forwarding no # deshabilita la transmisión GUI
DebianBanner no # disbales banner detallado
AllowUsers *@XXX.X.XXX.0/24 # restringe a los usuarios a un rango de IP

5. Restringir el uso de CRON

CRON es un programador de trabajos robusto para Linux. Permite a los administradores programar tareas en Linux usando el crontab. Por lo tanto, es crucial restringir quién puede ejecutar trabajos CRON. Puede averiguar todos los cronjobs activos de un usuario mediante el siguiente comando. 

crontab -l -u NOMBRE DE USUARIO

Verifique los trabajos de cada usuario para averiguar si alguien está explotando CRON. Es posible que desee bloquear a todos los usuarios para que no utilicen crontab excepto a usted. Ejecute el siguiente comando para esto. 

echo $ (whoami) >> /etc/cron.d/cron.allow
# echo TODO >> /etc/cron.d/cron.deny

6. Hacer cumplir los módulos PAM

Linux PAM (módulos de autenticación conectables) ofrece potentes funciones de autenticación para aplicaciones y servicios. Puede utilizar varias políticas PAM para asegurar el inicio de sesión del sistema. Por ejemplo, los siguientes comandos limitan la reutilización de contraseñas. 

# CentOS / RHEL
echo 'contraseña suficiente pam_unix.so use_authtok md5 shadow recordar = 5' >> \
> /etc/pam.d/system-auth
# Ubuntu / Debian
echo 'contraseña suficiente pam_unix.so use_authtok md5 shadow recordar = 5' >> \
> /etc/pam.d/common-password

Restringen el uso de contraseñas que se hayan utilizado en las últimas cinco semanas. Hay muchas más políticas de PAM que proporcionan capas adicionales de seguridad.

7. Eliminar paquetes no utilizados

La eliminación de paquetes no utilizados reduce la superficie de ataque en su máquina. Por lo tanto, le recomendamos que elimine los paquetes que se utilizan con poca frecuencia. Puede ver todos los paquetes instalados actualmente utilizando los siguientes comandos. 

lista de yum instalada # CentOS / RHEL 
lista de apt - instalado # Ubuntu / Debian

Supongamos que desea eliminar el paquete vlc. Puede hacer esto ejecutando los siguientes comandos como root. 

yum eliminar vlc # CentOS / RHEL
apt eliminar vlc # Ubuntu / Debian

8. Parámetros de kernel seguros

Otra forma eficaz de reforzar Linux es proteger los parámetros del kernel. Puede configurar estos parámetros usando sysctl o modificando el archivo de configuración. A continuación se muestran algunas configuraciones comunes. 

kernel.randomize_va_space = 2 # randomnize la base de direcciones para mmap, heap y stack
kernel.panic = 10 # reiniciar después de 10 segundos después de un pánico del kernel
net.ipv4.icmp_ignore_bogus_error_responses # protege los mensajes de error incorrectos
net.ipv4.ip_forward = 0 # deshabilita el reenvío de IP
net.ipv4.icmp_ignore_bogus_error_responses = 1 # ignora los errores de ICP

Estas son solo algunas configuraciones básicas. Aprenderá diferentes formas de configuración del kernel con experiencia.

9. Configurar iptables

Los kernels de Linux proporcionan métodos de filtrado robustos para paquetes de red a través de su API Netfilter. Puede usar iptables para interactuar con esta API y configurar filtros personalizados para solicitudes de red. A continuación se muestran algunas reglas básicas de iptables para usuarios centrados en la seguridad. 

-A INPUT -j REJECT # rechazar todas las solicitudes entrantes
-A FORWARD -j REJECT # rechazar el reenvío de tráfico
-A ENTRADA -i lo -j ACEPTAR
-A OUTPUT -o lo -j ACCEPT # permitir tráfico en localhost
# permitir solicitudes de ping
-A SALIDA -p icmp -j ACEPTAR # permitir pings salientes
# permitir conexiones establecidas / relacionadas
-A ENTRADA -m estado --estado ESTABLECIDO, RELACIONADO -j ACEPTAR
-A SALIDA -m estado --estado ESTABLECIDO, RELACIONADO -j ACEPTAR
# permitir búsquedas de DNS
-A SALIDA -p udp -m udp --dport 53 -j ACEPTAR
# permitir solicitudes http / https
-A SALIDA -p tcp -m tcp --dport 80 -m estado --state NUEVO -j ACEPTAR
-A SALIDA -p tcp -m tcp --dport 443 -m estado --state NUEVO -j ACEPTAR
# permitir acceso SSH
-A ENTRADA -p tcp -m tcp --dport 22 -j ACEPTAR
-A SALIDA -p tcp -m tcp --dport 22 -j ACEPTAR

10. Monitorear registros

Puede utilizar registros para comprender mejor su máquina Linux. Su sistema almacena varios archivos de registro para aplicaciones y servicios. Aquí describimos los esenciales.

  • /var/log/auth.log registra los intentos de autorización
  • /var/log/daemon.log registra aplicaciones en segundo plano
  • / var / log / debug logs de depuración de datos
  • /var/log/kern.log registra los datos del kernel
  • / var / log / syslog registra los datos del sistema
  • / var / log / faillog registra inicios de sesión fallidos

Los mejores consejos de refuerzo de Linux para principiantes

Asegurar un sistema Linux no es tan difícil como cree. Puede reforzar la seguridad siguiendo algunos de los consejos que se mencionan en esta guía. Dominará más formas de proteger Linux a medida que gane experiencia.

Correo electrónico
7 configuraciones de privacidad esenciales para Chrome OS y Google Chrome

¿Utiliza una Chromebook, pero le preocupa la privacidad? Modifique estas 7 configuraciones en el navegador Chrome en Chrome OS para mantenerse seguro en línea.

Temas relacionados
  • Linux
  • La seguridad informática
  • Linux
  • SSH
Sobre el Autor
Rubaiat Hossain (5 artículos publicados)

Rubaiat es un licenciado en informática con una gran pasión por el código abierto. Además de ser un veterano de Unix, también se dedica a la seguridad de redes, la criptografía y la programación funcional. Es un ávido coleccionista de libros de segunda mano y tiene una admiración interminable por el rock clásico.

Más de Rubaiat Hossain

Suscríbete a nuestro boletín

¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!

Un paso más…!

Confirme su dirección de correo electrónico en el correo electrónico que le acabamos de enviar.

.