Buenas prácticas de seguridad para tu distro GNU/Linux

diciembre 04, 2019 , 0 Comments

Seguridad : candado sobre circuito

Si te preocupa la seguridad en tu sistema operativo, estas son algunas buenas prácticas y consejos que puedes desarrollar en tu distro GNU/Linux favorita para estar un poco más seguro. Ya sabes que por defecto, los sistemas *nix son más seguros que Microsoft Windows, pero no son infalibles. Nada es seguro al 100%. Pero con esa seguridad extra y con la ayuda de estas recomendaciones, estarás un poco más tranquilo en cuanto a posibles ataques.

Además, son consejos muy sencillos que no resultan complicados para la mayoría de usuarios, pero por dejadez o pereza muchos descuidan. Ya sabes que pasar un rato configurando adecuadamente tu sistema y demás programas te puede ahorrar sustos. Si quieres saber cuáles son esas cosas que podrías hacer para blindar tu sistema, aquí tienes nuestras recomendaciones…

Los 10 mandamientos de la seguridad:

  1. Siempre descarga software desde fuentes fiables. Y eso también implica la imagen de tu distro, los controladores y apps. Por ejemplo, si descargas aplicaciones, intenta usar el centro de software de tu distro, los repositorios oficiales, o en su defecto, la web oficial del proyecto, pero nunca webs de terceros. Eso no garantiza nada, podrían haber atacado al servidor oficial y cambiado el binario o las fuentes, pero al menos eso es más complicado. Si intentas descargar controladores, puedes hacerlo desde GitHub si son de código abierto, o desde la web oficial del dispositivo de hardware si son propietarios. Y para videojuegos ídem, por ejemplo, desde Steam de Valve. Eso te evitará descargar software con posibles códigos maliciosos. Recuerda que si usas Wine, las vulnerabilidades de esos programas de Windows también podrían afectarte…
  2. Desactiva el usuario root cuando sea posible. Usa siempre sudo.
  3. Nunca uses X Windows o navegadores como root. Tampoco otros programas de los que no tienes confianza plena.
  4. Usa una contraseña robusta. Eso es tener al menos 8 caracteres como mínimo. No debe estar compuesta por ninguna palabra conocida, ni fechas de nacimiento, etc. Lo ideal es usar una combinación de letras minúsculas, mayúsculas, números y símbolos. Por ejemplo: aWrT-z_M44d0$
  5. No uses esa misma contraseña para todo, es decir, evita las contraseñas maestras. Ya que si la consiguen averiguar, podrán tener acceso a todo. Mientras que si parcelas (fencing), pueden entrar a un sistema, pero no a todos los servicios.
  6. Desinstala todo el software que no vayas a usar. Haz lo mismo con los servicios, debes desactivar todos aquellos servicios que no consideras necesarios en tu caso. Cierra puertos que no uses.
  7. Si crees que has sido víctima de un ataque o que tienen tu contraseña, estaría bien cambiar tus contraseñas. Si es posible la verificación en dos pasos en tus sistemas, hazlo.
  8. Mantén el sistema siempre actualizado. Los nuevos parches tapan algunas vulnerabilidades conocidas. Eso evitará que sean aprovechadas.
  9. No des detalles excesivos cuando te registres a servicios online. Es mejor que uses fechas o nombres falsos si no es estrictamente necesario usar los verdaderos. Tampoco exhibas detalles técnicos o de tu sistema en foros públicos.
  10. Si te llegan mensajes de correo con adjuntos raros, con extensiones tipo .pdf.iso, etc, no descargues nada. Evita también navegar por webs raras o descargar programas que aparezcan en ellas. Ignora también posibles mensajes SMS o de cualquier otro tipo pidiendo reactivar un servicio, o ceder la contraseña de algún servicio. Podrían ser prácticas de phishing.

Por otro lado, también te aconsejo algo más:

 

Política Para usuario normal
Para un servidor
Deshabilita el protocolo SSH Si, si no lo vas a usar. En cualquier caso, deshabilita el acceso como root, pon una contraseña segura, y cambia el puerto por defecto. No, por lo general hará falta para la administración remota. Pero puedes asegurarlo con una buena configuración.
Configura iptables Deberías tener al menos algunas reglas básicas definidas. Es imprescindible tener un complejo sistema de reglas para proteger al servidor.
IDS No es necesario. Sí deberías tener sistemas de protección auxiliares como un IDS, etc.
Seguridad física / arranque No es imprescindible, pero no estaría de más que pongas una contraseña a tu BIOS/UEFI y a tu GRUB. Es imprescindible restringir el acceso mediante protección física.
Cifrado de datos No es imprescindible, pero sí muy recomendable cifrar tu disco. Dependerá de cada caso. En algunos sí debería hacerse, en otros no. O tal vez solo en algunas particiones. Dependerá del tipo de servidor.
VPN Sería recomendable usar una VPN configurada para tu router y así todos los dispositivos que conectes estarán asegurados. O por lo menos, hazlo en el que más usas. No, por la naturaleza de servidor, no debe estar tras una VPN.
Habilita SELinux o AppArmor Sí, deberías configurarlo. Sí, es imprescindible.
Vigila los permisos, atributos, y lleva una buena política de administración. Recomendable. Imprescindible.

 


Some say he’s half man half fish, others say he’s more of a seventy/thirty split. Either way he’s a fishy bastard.