Esquema de Hardening a Linux Server
En las siguientes lineas se compilan una serie de herramientas dedicadas a fortificar (hardening) un servidor Linux. La documentación ha sido recogida de diferentes fuentes de internet y se enlaza al articulo original.
Consideraciones de seguridad en Servidores Web (Fuente)
Medidas Preventivas: SHOREWALL o una distribución para uso de Firewall como pfsense
Medidas Reactivas: Reaccionan ante la amenaza tomando contra medidas ejemplo: Mod_security, fail2ban
Medidas de Detección: Ayudan a detectar si una intrusión ha ocurrido o está en proceso ejemplo , HIDS: chkrootkit, AIDE, rkhunter. Y tambien NIDS: Snort
Medidas de Recuperación: Ayudan a recuperar la operabilidad luego de una intrusión ejemplo: backups e imagenes de disco.
Al implementar un esquema de seguridad se debe planear en lineas defensivas:
1ra Linea
Objetivo: Mantener nuestro software al día y con sus respectivos parches de seguridad aplicados
2da Linea
Componente: Firewall
Ejemplos: SHOREWALL
3ra Linea
Componente: Sistema de detección de ataques de fuerza bruta.
Ejemplos: fail2ban
4ta Linea
Componente: Firewall de aplicación.
Objetivo: Proteger nuestras aplicaciones web de uso malicioso
Ejemplo: mod_security
5ta Linea
Componente: HIDS activos
Objetivo: Examinar los paquetes entrantes en busca de ataques conocidos
Ejemplo: SNORT,
6ta linea
Componente:HIDS pásivos
Objetivo: Detectar intrusiones recientes o en proceso
Ejemplo: Aide, OSSEC
7ma linea
BACKUP !!! Despues de una intrusión esto es lo único que le quedará¡ asegúrese de que realizar periódicamente copias de respaldo y mensualmente haga pruebas de restauración.
Integración de componentes: Existen herramientas que integran diferentes herramientas de las mencionadas, se las conoce como UTM (Unified Threat Management). Una de ellas es Endian
Si queremos emsamblar un servidor web con Linux+Apache+MySql+PHP podemos seguir estos pasos: Secure LAMP server for production use
rkhunter + chkrootkit
http://sysadmingear.blogspot.com.es/2007/11/intrusion-detection-integrity-checks.html
http://sourceforge.net/apps/trac/rkhunter/wiki/SECREF
http://sourceforge.net/apps/trac/rkhunter/wiki/SECREF
Fail2ban
OSSEC and Samhain
Basic measures to secure server should be:
- Using (demanding) source verification tru GPG or minimally md5sums,
- Watch system integrity (Aide, Samhain, Tripwire or any package mgr that can do verification: save those databases off-site, also see Tiger, Chkrootkit),
- Harden your systems by not installing SW you don't need *now*, denying access where not needed and using tools like Bastille-linux, tips from Astaro,
- Patch kernel to protect looking at/writing to crucial /proc and /dev entries and/or use ACL's (see Silvio Cesare's site, Grsecurity, LIDS),
- Watch general/distro security bulletins and don't delay taking action (Slapper, Li0n etc),
- Keep an eye on outgoing traffic (egress logging and filtering),
- Don't compile apps as root but as a non-privileged user,
- Inspect the code if you can,
- Don't use Linux warez,
But most of all: use common sense.
- Using (demanding) source verification tru GPG or minimally md5sums,
- Watch system integrity (Aide, Samhain, Tripwire or any package mgr that can do verification: save those databases off-site, also see Tiger, Chkrootkit),
- Harden your systems by not installing SW you don't need *now*, denying access where not needed and using tools like Bastille-linux, tips from Astaro,
- Patch kernel to protect looking at/writing to crucial /proc and /dev entries and/or use ACL's (see Silvio Cesare's site, Grsecurity, LIDS),
- Watch general/distro security bulletins and don't delay taking action (Slapper, Li0n etc),
- Keep an eye on outgoing traffic (egress logging and filtering),
- Don't compile apps as root but as a non-privileged user,
- Inspect the code if you can,
- Don't use Linux warez,
But most of all: use common sense.
No hay comentarios:
Publicar un comentario