Cómo hacer más seguros nuestros servidores

Question

Cómo hacer más seguros nuestros servidores

Archivado

bastian 29 nov 2005 16:33

crackhead

1.434 mensajes
desde jul 2004
en back@home

Hola
como estos días ando algo líado, me ha dado por ponerme otra vez con mi mini-servidor

. El caso es que he pensado que sería buena idea que pusiésemos en común en un hilo, una serie de recomendaciones generales o específicas de cada servicio, que hagan que nuestras máquinas sean un poco más seguras. Cada uno puede aportar su experiencia con los servicios que corren sus servidores. Cualquier aportación es bienvenida. Yo lo acabo de montar (le estoy metiendo web, ftp y ssh) así que de momento no tengo demasiada idea.

Como recomendación general lo único que puedo aportar es el no usar las cuentas de root para correr los servicios, y en vez de esto crear usuarios virtuales sin una shell (al crearlos usar la opción -s /bin/false ).

Ahora estoy investigando lo que ya se ha comentado en este foro alguna que otra vez, de la conveniencia de no usar passwords para ssh, para evitar ataques de worms que pululan por ahí intentando acceder usando logins típicos y fuerza bruta. En vez de usar passwords, se recomienda usar claves RSA/DSA para autenticarse. Para más información sobre este tema, seguir los enlaces de eaTHaN/e-Minguez este hilo. En el segundo enlace se explica el uso de estas claves, en el tercero y el primero se explican el uso de ssh-agent y keychain (un front-end de este con algunas ventajas) y en el cuarto se comentan las bondades del Authentication agent forwarding en OpenSSH, que nos permite establecer conexiones con untrusted hosts.

Y al hilo de este último enlace, tengo una dudilla. Primero comento la situación de los equipos involucrados Yo tengo una LAN en casa, en la que (en principio) todos son trusted computers. Yo lo que quiero es acceder desde un ordenador externo (uni) que sería el "untrusted computer". O sea, el caso contrario a lo contrario a lo que se explica ahí. Mi duda es, que estrategia debería seguir en este caso: dejarlo con login/pass, usar RDA/DSA y encriptarlos con un passphrase y no usar keychain/ssh-agent (no sé si esto es seguro) o si hay alguna otra posibilidad.

Espero que se me haya entendido, si no, decídlo y lo intentaré hacer mejor.

A ver si conseguimos un hilo interesante.

Un saludo,
bastian.

5 respuestas

xatafi 01 dic 2005 21:39 Adicto **465** mensajes desde **ago 2005** · Answer 1 · 2005-12-01T20:39:25+00:00

Sólo comentar que, si quieres hacer una transferencia segura de ficheros, es mejor usar scp que no ftp.

Answer 2 · 2005-12-02T08:33:17+00:00

Gracias por la aportación. Ahora estoy probando vsftpd a ver si lo echo a andar, pero sí en esos casos es casi más práctico scp.

Un saludo.

Answer 3 · 2005-12-09T02:54:48+00:00

Yo lo que hago para dar un poquito más de seguridad es no tener los servicios en los puertos por defecto (el web sí que lo tengo en el 80) . Así por lo menos te ahorras los worms que van atacando ssh y ftp.

Answer 4 · 2005-12-09T15:51:43+00:00

Yo lo que hago para dar un poquito más de seguridad es no tener los servicios en los puertos por defecto (el web sí que lo tengo en el 80) . Así por lo menos te ahorras los worms que van atacando ssh y ftp.

A esa mala práctica se la conoce como 'crear falsa sensación de seguridad' y es igual de peligrosa que obsesionarse con que las últimas versiones de los paquetes son las más seguras.

Saludos.Ferdy

Answer 5 · 2005-12-14T23:47:43+00:00

ctRl 15 dic 2005 00:47

DMG-01 ESP

1.101 mensajes
desde oct 2002
en Galicia

No he dicho que eso lo haga seguro.