Soy administrador de sistemas de instancias de Amazon Lightsail que ejecutan Linux. Quiero conocer las prácticas recomendadas de seguridad para el servidor que puedo utilizar para proteger mis datos.
Resolución
Las siguientes son las prácticas recomendadas básicas de seguridad para servidores Linux. Esta no es una lista completa. Como administrador del sistema local, hay muchas configuraciones complejas que debe configurar en función de sus requisitos y casos de uso.
Cifre la comunicación de datos hacia y desde su servidor Linux
Utilice SCP, SSH, rsync o SFTP para la transferencia de archivos. No utilice FTP ni Telnet, ya que no son seguros. Para mantener una conexión segura (HTTPS), instale y configure un certificado SSL/TLS en su servidor.
Minimice el software para reducir al mínimo la vulnerabilidad en Linux y realice auditorías de seguridad de forma regular
Para evitar vulnerabilidades de software o paquetes, no instale software innecesario. Si es posible, identifique y elimine todos los paquetes no deseados.
Mantenga el kernel y el software de Linux actualizados
La aplicación de parches de seguridad es una parte importante del mantenimiento del servidor Linux. Linux proporciona todas las herramientas necesarias para mantener su sistema actualizado. Linux también permite realizar actualizaciones sencillas entre versiones. Revise y aplique todas las actualizaciones de seguridad lo antes posible y asegúrese de actualizar al último kernel disponible. Utilice los respectivos administradores de paquetes en función de las distribuciones de Linux, como yum, apt-get o dpkg, para aplicar todas las actualizaciones de seguridad.
Utilice extensiones de seguridad de Linux
Linux incluye varias características de seguridad que se pueden utilizar para obtener protección ante programas mal configurados o en peligro. Si es posible, utilice SELinux y otras extensiones de seguridad de Linux para imponer limitaciones a la red y a otros programas.
Desactive el inicio de sesión de raíz
No inicie sesión como usuario raíz. Cuando sea necesario, se recomienda utilizar sudo para ejecutar comandos a nivel de raíz. Sudo mejora la seguridad del sistema y no comparte las credenciales con otros usuarios y administradores. Para obtener más información, consulte Disallowing root access en el sitio web de Red Hat.
Utilice SS o netstat para encontrar los puertos de red de escucha y cierre o restrinja todos los demás puertos
Utilice ss o netstat para encontrar los puertos que escuchan en las interfaces de red del sistema. Cualquier puerto abierto podría indicar una intrusión. Para obtener más información, consulte Linux networking: socket stats via ss y Linux networking: 13 uses for netstat en el sitio web de Red Hat.
Configure tanto el firewall de Lightsail como los firewalls a nivel de sistema operativo en los servidores Linux para obtener un nivel adicional de seguridad
Utilice el firewall de Lightsail para filtrar el tráfico y permitir solo el tráfico necesario al servidor. El firewall a nivel de sistema operativo es un programa de aplicación de espacio de usuario que permite configurar los firewalls proporcionados por el kernel de Linux. Dependiendo de la distribución de Linux, puede utilizar iptables, ufw, firewalld, etc. Para obtener más información sobre iptables y firewalld, consulte Setting and Controlling IP sets using iptables y Using firewalls en el sitio web de Red Hat. Para obtener más información sobre ufw, consulte Security - Firewall en el sitio web de ubuntu.
Utilice auditd para auditar su sistema
Utilice auditd para auditar el sistema. Auditd escribe registros de auditoría en el disco. También supervisa diversas actividades del sistema, como inicios de sesión del sistema, autenticaciones, modificaciones de cuentas y denegaciones de SELinux. Estos registros ayudan a los administradores a identificar actividades maliciosas o accesos no autorizados. Para obtener más información, consulte Configure Linux system auditing with auditd en el sitio web de Red Hat.
Instale un IDS
Utilice fail2ban o denyhost como sistema de detección de intrusos (IDS). Fail2ban y denyhost analizan los archivos de registro en busca de demasiados intentos fallidos de inicio de sesión y bloquean la dirección IP que muestra signos de actividad maliciosa.
Cree copias de seguridad de forma periódica
Para obtener más información, consulte Snapshots in Amazon Lightsail.
Evite proporcionar permisos de lectura, escritura y ejecución (777) para archivos y directorios a usuarios, grupos y otros
Puede usar chmod para restringir el acceso a archivos y directorios, como el directorio web-root o document-root. Para obtener más información, consulte Linux permissions: An introduction to chmod en el sitio web de Red Hat. Edite los permisos para proporcionar acceso únicamente a los usuarios autorizados. Para obtener más información, consulte How to manage Linux permissions for users, groups, and others en el sitio web de Red Hat.
Información relacionada
Security in Amazon Lightsail
Compliance validation for Amazon Lightsail
Infrastructure security in Lightsail
Best practices for securing Windows Server-based Lightsail instances