Diferencia entre revisiones de «Su máquina Debian»
| (No se muestran 4 ediciones intermedias de 2 usuarios) | |||
| Línea 1: | Línea 1: | ||
| + | <span data-link_translate_es_title="Su máquina Debian" data-link_translate_es_url="Su máquina Debian"></span>[[:es:Su máquina Debian]][[es:Su máquina Debian]] | ||
| + | <span data-link_translate_he_title="אבטחת הרכב דביאן שלה" data-link_translate_he_url="%D7%90%D7%91%D7%98%D7%97%D7%AA+%D7%94%D7%A8%D7%9B%D7%91+%D7%93%D7%91%D7%99%D7%90%D7%9F+%D7%A9%D7%9C%D7%94"></span>[[:he:אבטחת הרכב דביאן שלה]][[he:אבטחת הרכב דביאן שלה]] | ||
| + | <span data-link_translate_ru_title="Обеспечение его машины под управлением Debian" data-link_translate_ru_url="%D0%9E%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D0%B5+%D0%B5%D0%B3%D0%BE+%D0%BC%D0%B0%D1%88%D0%B8%D0%BD%D1%8B+%D0%BF%D0%BE%D0%B4+%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5%D0%BC+Debian"></span>[[:ru:Обеспечение его машины под управлением Debian]][[ru:Обеспечение его машины под управлением Debian]] | ||
<span data-link_translate_ja_title="その Debian マシンを確保" data-link_translate_ja_url="%E3%81%9D%E3%81%AE+Debian+%E3%83%9E%E3%82%B7%E3%83%B3%E3%82%92%E7%A2%BA%E4%BF%9D"></span>[[:ja:その Debian マシンを確保]][[ja:その Debian マシンを確保]] | <span data-link_translate_ja_title="その Debian マシンを確保" data-link_translate_ja_url="%E3%81%9D%E3%81%AE+Debian+%E3%83%9E%E3%82%B7%E3%83%B3%E3%82%92%E7%A2%BA%E4%BF%9D"></span>[[:ja:その Debian マシンを確保]][[ja:その Debian マシンを確保]] | ||
<span data-link_translate_ar_title="تأمين جهاز به دبيان" data-link_translate_ar_url="%D8%AA%D8%A3%D9%85%D9%8A%D9%86+%D8%AC%D9%87%D8%A7%D8%B2+%D8%A8%D9%87+%D8%AF%D8%A8%D9%8A%D8%A7%D9%86"></span>[[:ar:تأمين جهاز به دبيان]][[ar:تأمين جهاز به دبيان]] | <span data-link_translate_ar_title="تأمين جهاز به دبيان" data-link_translate_ar_url="%D8%AA%D8%A3%D9%85%D9%8A%D9%86+%D8%AC%D9%87%D8%A7%D8%B2+%D8%A8%D9%87+%D8%AF%D8%A8%D9%8A%D8%A7%D9%86"></span>[[:ar:تأمين جهاز به دبيان]][[ar:تأمين جهاز به دبيان]] | ||
| Línea 14: | Línea 17: | ||
Este artículo ha sido traducido por un software de traducción automática. Usted puede ver el origen artículo [[:fr:Sécuriser sa machine Debian|aquí]].<br /><span data-translate="fr"></span> | Este artículo ha sido traducido por un software de traducción automática. Usted puede ver el origen artículo [[:fr:Sécuriser sa machine Debian|aquí]].<br /><span data-translate="fr"></span> | ||
| − | + | {{#seo: | |
| − | + | |title=Su máquina Debian | |
| + | |title_mode=append | ||
| + | |keywords=these,are,your,keywords | ||
| + | |description=Descubra en este articulo como installar su maquina Debian. | ||
| + | |image=Uploaded_file.png | ||
| + | |image_alt=Wiki Logo | ||
| + | }} | ||
==Introducción == | ==Introducción == | ||
Garantizar que la seguridad de su máquina es un punto esencial que No. se debe subestimar bajo pena de convertirse en el blanco de varios ataques. La potencia actual de los ordenadores hoy en día hacer intrusiones como las técnicas de ataque de fuerza bruta o ''fuerza bruta '' muy simple de aplicar por a obtener acceso de administrador a la meta en una máquina del tiempo corto. | Garantizar que la seguridad de su máquina es un punto esencial que No. se debe subestimar bajo pena de convertirse en el blanco de varios ataques. La potencia actual de los ordenadores hoy en día hacer intrusiones como las técnicas de ataque de fuerza bruta o ''fuerza bruta '' muy simple de aplicar por a obtener acceso de administrador a la meta en una máquina del tiempo corto. | ||
<br><br> | <br><br> | ||
| − | En esta página encontrará una lista no exhaustiva de pistas con el fin de asegurar su servidor Debian en diferentes puntos como la cuenta raíz SSH acceso, firewall, etc.... | + | En esta página encontrará una lista no exhaustiva de pistas con el fin de asegurar su servidor [https://www.ikoula.es/es/servidor-dedicado/linux/debian Debian] en diferentes puntos como la cuenta raíz SSH acceso, firewall, etc.... |
<div style="background-color: #FF9999;"> '''ADVERTENCIA ''': Antes de realizar cambios a su sistema siempre plan de copia de seguridad de tus archivos en caso de manipulación inadecuada. <br> | <div style="background-color: #FF9999;"> '''ADVERTENCIA ''': Antes de realizar cambios a su sistema siempre plan de copia de seguridad de tus archivos en caso de manipulación inadecuada. <br> | ||
En un servidor de producción, asegúrese de realizar estas operaciones durante las horas para minimizar el impacto de sus acciones. </div> | En un servidor de producción, asegúrese de realizar estas operaciones durante las horas para minimizar el impacto de sus acciones. </div> | ||
Revisión actual del 11:04 6 oct 2021
es:Su máquina Debian
he:אבטחת הרכב דביאן שלה
ru:Обеспечение его машины под управлением Debian
ja:その Debian マシンを確保
ar:تأمين جهاز به دبيان
zh:确保其 Debian 的机器
ro:Asigurarea sa maşină de Debian
pl:Zabezpieczanie swojej maszynie Debiana
de:Sicherung ihrer Debian-Rechner
nl:Beveiligen zijn Debian machine
it:Protezione relativa macchina Debian
pt:Protegendo sua máquina Debian
en:Securing its Debian machine
fr:Sécuriser sa machine Debian
Este artículo ha sido traducido por un software de traducción automática. Usted puede ver el origen artículo aquí.
Introducción
Garantizar que la seguridad de su máquina es un punto esencial que No. se debe subestimar bajo pena de convertirse en el blanco de varios ataques. La potencia actual de los ordenadores hoy en día hacer intrusiones como las técnicas de ataque de fuerza bruta o fuerza bruta muy simple de aplicar por a obtener acceso de administrador a la meta en una máquina del tiempo corto.
En esta página encontrará una lista no exhaustiva de pistas con el fin de asegurar su servidor Debian en diferentes puntos como la cuenta raíz SSH acceso, firewall, etc....
En un servidor de producción, asegúrese de realizar estas operaciones durante las horas para minimizar el impacto de sus acciones.
Requisitos
Uno de lo requisito previo esencial para la seguridad de su servidor es mantener sus paquetes en su versión la más actualizada posible. Un gran número de defectos descubiertos es corregido rápidamente por los desarrolladores de paquetes y aplicaciones involucradas, siempre que sea posible debe conservar siempre su sistema de actualización y así evitar problemas de seguridad. Mantener actualizado su sistema Debian, asegúrese de que tener una lista de los repositorios oficiales para actualizar. Usted puede encontrar una lista de las disponibles en repositorios Ikoula e instrucciones de instalación en esta dirección.
Raíz de acceso
Permitir conexiones desde cuenta raíz Después del primer uso no es generalmente una buena idea. De hecho la cuenta raíz ou superusuario tiene acceso completo a su sistema.
Si un atacante trata de acceder a cuenta superusuario Tendrá control total de su máquina.
El comando sudo
Para reducir el riesgo por ejemplo, puede Agregar un usuario que, si es necesario, los derechos de nuestra superusuario mediante el comando sudo.
- Primero necesitamos crear un nuevo usuario
adduser votre_utilisateur
A continuación, rellena los campos así como la contraseña que preferentemente se compone de letras minúsculas, letras mayúsculas y números.
- Ahora vamos a instalar sudo
apt-get install sudo
- Ahora que nuestro usuario se crea y que sudo está instalado tendrá que estar en el grupo de sudo para utilizar el comando
usermod -a -G sudo votre_utilisateur
Desde ahora nuestro usuario puede, si es necesario preceder el comando desea sudo para ejecutar con permisos de superusuario .
Le pedirá la contraseña antes de ejecutar cualquier comando.
sudo cat /etc/password
Prohibir el login de root
Ahora que ya tenemos otro usuario podemos evitar por ejemplo conectar a nuestro sistema de la cuenta root.
- Primero tienes que editar la configuración de la ssh servicio archivo
vi /etc/ssh/sshd_config
- Buscar y editar la siguiente línea en el archivo sshd_config, cambiando el Sí par no. Necesario que descomentar la línea borrando el símbolo #.
PermitRootLogin no
Recuerda a continuación, guarde y cierre el archivo de configuración.
- Cuando se reiniciará el servicio SSH los cambios surtirán efecto.
/etc/init.d/ssh restart
Por lo tanto se recomiendan la apertura de una segunda terminal para probar la conexión y de los cambios en el nuevo usuario.
SSH access
Gracias a las soluciones previamente nuestro sistema ya está asegurado, pero todavía podemos mejorar esta seguridad mediante la implementación de un archivo de clave de autenticación.
Generalmente se realiza la conexión y la autenticación en el sistema a través de un par de inicio de sesión /contraseña. Podemos reemplazar este método no es infalible por la autenticación mediante clave.
Una vez que la implementación de cambio durante cada nuevo sistema de conexión a ver si el usuario intenta conectar tiene una clave válida y si tiene permiso para realizar un inicio de sesión para este usuario.
Aunque ningún método es infalible llave de autenticación requiere que la persona que desea entrar en el sistema que tiene este archivo. Por lo tanto, nos podemos reforzar la seguridad frente a una contraseña que puede ser conjeturada por fuerza bruta
Sin embargo, existen varios inconvenientes, cuando se selecciona este método, es imprescindible que el archivo de clave independientemente de la ubicación de la conexión, por ejemplo entre las computadoras en el trabajo y en casa.
También debe agregar manualmente cada nuevo archivo clave que permitirá el acceso a su sistema, en el caso por ejemplo de agregar un nuevo usuario o acceso por una persona autorizada para su sistema.
Cambiar el puerto predeterminado
Una de las maneras más eficaces detener pruebas automáticas contra servidores es cambiar el puerto SSH por defecto en su máquina. Para hacer esto edite su archivo sshd_config
vi /etc/ssh/sshd_config
- Buscar y editar la siguiente línea del archivo cambiando el valor por uno
# What ports, IPs and protocols we listen for
Port 22
- Reiniciar el servicio SSH
/etc/init.d/ssh restart
Generar un par clave
Windows
Puede generar su clave de PuTTYgen software disponible para Windows.
Linux
Bajo linux puede escribir el siguiente comando :
ssh-keygen
Copiar un par de claves
Cuando se genera el par que ahora indicamos el servidor Cuáles son las personas autorizadas para conectarse a nuestro nuevo usuario. Para ello cada usuario de nuestro sistema tiene un archivo ssh/authorized_keys presente en el directorio local.
- Si actualmente se genera el par de claves en el sistema Debian puede utilizar el siguiente comando para copiar automáticamente la llave en el archivo.
ssh-copy-id votre_utilisateur@IP_VotreServeur
- También puede Agregar manualmente la clave pública al archivo de personas autorizadas
Si no existe la carpeta .ssh en carpeta local de nuestro usuario lo creamos
mkdir .ssh
chmod 700 .ssh
- Ahora tenemos que crear un archivo authorized_keys en nuestra carpeta .ssh
vi .ssh/authorized_keys
- La clave pública se añaden al archivo, el resultado debe ser similar a este ejemplo
ssh-rsa AAAB3NzaC1yc2EAAAADAQaSdMTJXMy3MtlQhva+j9CgguyVbU3nCKneB+KjKiS/1rggpFmu3HbXBnWSUdf votre_utilisateur@machine.locale
Guarda y cierra el archivo.
- Por razones de seguridad limitará el acceso a nuestro archivo
chmod 600 .ssh/authorized_keys
A partir de ahora nuestro usuario puede conectarse a la máquina.
Firewall
Utilizando un firewall se recomienda asegurar su sistema.
El firewall es a menudo la primera línea de defensa de su equipo contra el exterior, es de hecho quien analizará el tráfico que pasa entre su máquina y el exterior.
Gracias a lo cortafuegos son capaces de bloquear o permitir acceso a su máquina desde el exterior a ciertos protocolos o puertos, garantizando la seguridad de su sistema.
Las políticas de seguridad
En el caso de un servidor de seguridad es necesario definir una política de seguridad a implementar. Sin una definición efectiva la opción de bloqueo o permiso de los puertos y protocolos sería bastante al azar.
Por lo tanto es necesario definir de antemano una política clara para la seguridad de su red informática o su máquina.
Las diferentes políticas de uso general incluyen políticas de lista blanca y de la lista negra .
Lista blanca
El principio de la política de la lista blanca es para bloquear todo el tráfico de entrar sin excepción y permitir explícitamente sólo los puertos y protocolos que estamos absolutamente seguros de su seguridad.
Esta política de seguridad tiene muchas ventajas en comparación con el lista negra . De hecho todo el tráfico no sea explícitamente permitido será bloqueado, esto evitará que más intentos de conexión que no necesariamente habría tenido el reflejo para garantizar.
Una de las desventajas de esta política es la obligación de tener que definir cada puertos o protocolos utilizados para no bloquear la ejecución de nuestros servicios ( por ejemplo el protocolo http en el puerto 80 )Por lo tanto debemos saber cada puerto utilizado por la máquina y mantener las reglas cuando agregar o eliminar un servicio.
Respecto a la saliente en la mayoría de los casos no se considera como riesgoso a todos autorizados, de hecho se supone que sabe el tráfico dejando su máquina o red. Sin embargo, se recomienda mantener un seguimiento de la seguridad saliente.
Lista negra
El principio de la política de la lista negra para permitir todo el tráfico entrante sin excepción y bloquear explícitamente sólo los puertos y protocolos que estamos seguros que suponen un riesgo para la seguridad.
Esta política de seguridad tiene muchos inconvenientes en comparación con el lista blanca . De hecho permite entrar sin ninguna restricción todo el tráfico no se recomienda, bloqueo involucrado sólo en el caso de un puerto o protocolo establecido explícitamente.
Respecto a la saliente en la mayoría de los casos no se considera como riesgoso a todos autorizados, de hecho se supone que sabe el tráfico dejando su máquina o red. Sin embargo, se recomienda mantener un seguimiento de la seguridad saliente.
IPTables
IPTables es seguramente el más conocido firewall de software disponible para Debian.
Aquí están algunos comandos prácticos sobre :
- Instalación de iptables
sudo apt-get install iptables
- Lista de las normas actualmente establecidas
sudo iptables -L
- Las normas establecidas de purga
sudo iptables -F
sudo iptables -X
- Agregar una regla
# Autoriser les connexions entrantes sur le port ssh(22) tcp depuis l'adresse ip x.x.x.x par exemple
sudo iptables -A INPUT -p tcp --dport ssh -s x.x.x.x -j ACCEPT
Tenga cuidado al asignar una dirección IP puede ser dinámica, por ejemplo el de tu internet en el hogar de la caja.
- Eliminar una regla
# Supprimer la règle n°2 de la catégorie OUTPUT
sudo iptables -D OUTPUT 2
Habilitar actualización automática de comentarios