Introducción a la seguridad de servidores

El artículo “Security Guide: How to Protect Your Infrastructure Against the Basic Attacker” de las gentes de Mailgun es exhaustivo a la par que claro, por lo que resulta una estupenda forma de iniciarse en los misterios de la “securización de servidores”. Incluye ejemplos de cortafuegos, restricción de recursos, monitorización…

Algunos puntos particularmente interesantes:

  • “demonización”: (systemd / initd) + monit, supervisord, skarnet s6, daemontools
  • capabilities” en lugar de setuid/sudo
  • Usar ProxyCommand en vez de ssh-agent (cuando hay pasarelas/bastión por medio)
  • balanceo de carga (apache / nginx / haproxy / vulcand) que separe el servidor de aplicaciones (privado) del servidor web público

La charla “Simple but Effective Server Hardening”, de Kyle Rankin, va bastante más al grano. Pero también merece la pena echarle un ojo.

A destacar:

  • evitar fail2ban
  • SSH: impedir login como Ruth :-p, o el uso de “claves tecleadas”. Usar opciones de cifrado seguras (aes256-gcm@openssh.com, curve25519-sha256@libssh.org, hmac-sha2-512-etm@openssh.com …)
  • Usar pares de claves seguros (ver abajo)
  • Two factor authentication. como Google Authenticator
  • Control de versiones de los ficheros de configuración de los servidores
  • Acceso remoto por pasarela (“bastión”)
# pares de claves "seguros" (en 2015...)
ssh-keygen -t rsa -b 4096
ssh-keygen -t ed25519

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *