Diferencia entre revisiones de «Su máquina Debian»

De ES Ikoula wiki
Jump to navigation Jump to search
 
(No se muestran 21 ediciones intermedias de 2 usuarios)
Línea 1: Línea 1:
 +
<span data-link_translate_es_title="Su máquina Debian"  data-link_translate_es_url="Su máquina Debian"></span>[[:es:Su máquina Debian]][[es:Su máquina Debian]]
 +
<span data-link_translate_he_title="אבטחת הרכב דביאן שלה"  data-link_translate_he_url="%D7%90%D7%91%D7%98%D7%97%D7%AA+%D7%94%D7%A8%D7%9B%D7%91+%D7%93%D7%91%D7%99%D7%90%D7%9F+%D7%A9%D7%9C%D7%94"></span>[[:he:אבטחת הרכב דביאן שלה]][[he:אבטחת הרכב דביאן שלה]]
 +
<span data-link_translate_ru_title="Обеспечение его машины под управлением Debian"  data-link_translate_ru_url="%D0%9E%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D0%B5+%D0%B5%D0%B3%D0%BE+%D0%BC%D0%B0%D1%88%D0%B8%D0%BD%D1%8B+%D0%BF%D0%BE%D0%B4+%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5%D0%BC+Debian"></span>[[:ru:Обеспечение его машины под управлением Debian]][[ru:Обеспечение его машины под управлением Debian]]
 +
<span data-link_translate_ja_title="その Debian マシンを確保"  data-link_translate_ja_url="%E3%81%9D%E3%81%AE+Debian+%E3%83%9E%E3%82%B7%E3%83%B3%E3%82%92%E7%A2%BA%E4%BF%9D"></span>[[:ja:その Debian マシンを確保]][[ja:その Debian マシンを確保]]
 +
<span data-link_translate_ar_title="تأمين جهاز به دبيان"  data-link_translate_ar_url="%D8%AA%D8%A3%D9%85%D9%8A%D9%86+%D8%AC%D9%87%D8%A7%D8%B2+%D8%A8%D9%87+%D8%AF%D8%A8%D9%8A%D8%A7%D9%86"></span>[[:ar:تأمين جهاز به دبيان]][[ar:تأمين جهاز به دبيان]]
 +
<span data-link_translate_zh_title="确保其 Debian 的机器"  data-link_translate_zh_url="%E7%A1%AE%E4%BF%9D%E5%85%B6+Debian+%E7%9A%84%E6%9C%BA%E5%99%A8"></span>[[:zh:确保其 Debian 的机器]][[zh:确保其 Debian 的机器]]
 +
<span data-link_translate_ro_title="Asigurarea sa maşină de Debian"  data-link_translate_ro_url="Asigurarea+sa+ma%C5%9Fin%C4%83+de+Debian"></span>[[:ro:Asigurarea sa maşină de Debian]][[ro:Asigurarea sa maşină de Debian]]
 +
<span data-link_translate_pl_title="Zabezpieczanie swojej maszynie Debiana"  data-link_translate_pl_url="Zabezpieczanie+swojej+maszynie+Debiana"></span>[[:pl:Zabezpieczanie swojej maszynie Debiana]][[pl:Zabezpieczanie swojej maszynie Debiana]]
 +
<span data-link_translate_de_title="Sicherung ihrer Debian-Rechner"  data-link_translate_de_url="Sicherung+ihrer+Debian-Rechner"></span>[[:de:Sicherung ihrer Debian-Rechner]][[de:Sicherung ihrer Debian-Rechner]]
 +
<span data-link_translate_nl_title="Beveiligen zijn Debian machine"  data-link_translate_nl_url="Beveiligen+zijn+Debian+machine"></span>[[:nl:Beveiligen zijn Debian machine]][[nl:Beveiligen zijn Debian machine]]
 +
<span data-link_translate_it_title="Protezione relativa macchina Debian"  data-link_translate_it_url="Protezione+relativa+macchina+Debian"></span>[[:it:Protezione relativa macchina Debian]][[it:Protezione relativa macchina Debian]]
 +
<span data-link_translate_pt_title="Protegendo sua máquina Debian"  data-link_translate_pt_url="Protegendo+sua+m%C3%A1quina+Debian"></span>[[:pt:Protegendo sua máquina Debian]][[pt:Protegendo sua máquina Debian]]
 +
<span data-link_translate_en_title="Securing its Debian machine"  data-link_translate_en_url="Securing+its+Debian+machine"></span>[[:en:Securing its Debian machine]][[en:Securing its Debian machine]]
 
<span data-link_translate_fr_title="Sécuriser sa machine Debian"  data-link_translate_fr_url="S%C3%A9curiser_sa_machine_Debian"></span>[[:fr:Sécuriser sa machine Debian]][[fr:Sécuriser sa machine Debian]]
 
<span data-link_translate_fr_title="Sécuriser sa machine Debian"  data-link_translate_fr_url="S%C3%A9curiser_sa_machine_Debian"></span>[[:fr:Sécuriser sa machine Debian]][[fr:Sécuriser sa machine Debian]]
 
<br />
 
<br />
  
Este art�culo ha sido traducido por un software de traducci�n autom�tica. Usted puede ver el origen art�culo [[:fr:Sécuriser sa machine Debian|aqu�]].<br /><span data-translate="fr"></span>
+
Este artículo ha sido traducido por un software de traducción automática. Usted puede ver el origen artículo [[:fr:Sécuriser sa machine Debian|aquí]].<br /><span data-translate="fr"></span>
  
==Introducci�==
+
{{#seo:
Garantizar que la seguridad de su máquina es un punto esencial que N se debe subestimar bajo pena de convertirse en el blanco de varios ataques. La potencia actual de los ordenadores hoy en día hacer intrusiones como las técnicas de ataque de fuerza bruta o  ''fuerza br'' muy simple de aplicar poa obtener acceso de administrador a la meta en una máquina del tiempo corto.
+
|title=Su máquina Debian
 +
|title_mode=append
 +
|keywords=these,are,your,keywords
 +
|description=Descubra en este articulo como installar su maquina Debian.
 +
|image=Uploaded_file.png
 +
|image_alt=Wiki Logo
 +
}}
 +
==Introducción ==
 +
Garantizar que la seguridad de su máquina es un punto esencial que No.  se debe subestimar bajo pena de convertirse en el blanco de varios ataques. La potencia actual de los ordenadores hoy en día hacer intrusiones como las técnicas de ataque de fuerza bruta o  ''fuerza bruta '' muy simple de aplicar por a obtener acceso de administrador a la meta en una máquina del tiempo corto.
 
<br><br>
 
<br><br>
En esta página encontrará una lista no exhaustiva de pistas con el fin de asegurar su servidor Debian en diferentes puntos como la cuenta ra� SS acceso, firewall, etc....
+
En esta página encontrará una lista no exhaustiva de pistas con el fin de asegurar su servidor [https://www.ikoula.es/es/servidor-dedicado/linux/debian Debian] en diferentes puntos como la cuenta raíz  SSH  acceso, firewall, etc....
<div style="background-color: #FF9999;"> '''ADVERTENCIA ''': Antes de realizar cambios a su sistema siempre plan de copia de seguridad de tus archivos en caso de manipulación inadecuada<br>
+
<div style="background-color: #FF9999;"> '''ADVERTENCIA ''': Antes de realizar cambios a su sistema siempre plan de copia de seguridad de tus archivos en caso de manipulación inadecuada. <br>
 
En un servidor de producción, asegúrese de realizar estas operaciones durante las horas para minimizar el impacto de sus acciones. </div>
 
En un servidor de producción, asegúrese de realizar estas operaciones durante las horas para minimizar el impacto de sus acciones. </div>
  
==Requisitos==
+
==Requisitos ==
 
Uno de lo requisito previo esencial para la seguridad de su servidor es mantener sus paquetes en su versión la más actualizada posible. Un gran número de defectos descubiertos es corregido rápidamente por los desarrolladores de paquetes y aplicaciones involucradas, siempre que sea posible debe conservar siempre su sistema de actualización y así evitar problemas de seguridad.
 
Uno de lo requisito previo esencial para la seguridad de su servidor es mantener sus paquetes en su versión la más actualizada posible. Un gran número de defectos descubiertos es corregido rápidamente por los desarrolladores de paquetes y aplicaciones involucradas, siempre que sea posible debe conservar siempre su sistema de actualización y así evitar problemas de seguridad.
Mantener actualizado su sistema Debian, asegúrese de que tener una lista de los repositorios oficiales para actualizar. Usted puede encontrar una lista de las disponibles en repositorios Ikoula e instrucciones de inst [[:fr:Quelles_sont_les_sources_des_d%C3%A9p%C3%B4ts_debian_chez_Ikoula| en esta dirección]].
+
Mantener actualizado su sistema Debian, asegúrese de que tener una lista de los repositorios oficiales para actualizar. Usted puede encontrar una lista de las disponibles en repositorios Ikoula e instrucciones de instalación  [[:fr:Quelles_sont_les_sources_des_d%C3%A9p%C3%B4ts_debian_chez_Ikoula| en esta dirección]].
  
==Raíz de acc==
+
==Raíz de acceso ==
Permitir conexiones desde cuent ''ra�'' Después del primer uso no es generalmente una buena idea. De hecho la cuenta  ''ra�'' ou ''superusuario '' tiene acceso completo a su sistema. <br>Si un atacante trata de acceder a cuenta  ''superusuario '' Tendrá control total de su máquina.
+
Permitir conexiones desde cuenta  ''raíz '' Después del primer uso no es generalmente una buena idea. De hecho la cuenta  ''raíz '' ou ''superusuario '' tiene acceso completo a su sistema. <br>Si un atacante trata de acceder a cuenta  ''superusuario '' Tendrá control total de su máquina.
===El comando sudo===
+
===El comando sudo ===
 
Para reducir el riesgo por ejemplo, puede Agregar un usuario que, si es necesario, los derechos de nuestra  ''superusuario '' mediante el comando  ''sudo''.
 
Para reducir el riesgo por ejemplo, puede Agregar un usuario que, si es necesario, los derechos de nuestra  ''superusuario '' mediante el comando  ''sudo''.
 
;Primero necesitamos crear un nuevo usuario  :
 
;Primero necesitamos crear un nuevo usuario  :
Línea 31: Línea 52:
 
<syntaxhighlight lang="bash"> sudo cat /etc/password </syntaxhighlight>  
 
<syntaxhighlight lang="bash"> sudo cat /etc/password </syntaxhighlight>  
  
===Prohibir el login de r===
+
===Prohibir el login de root ===
 
Ahora que ya tenemos otro usuario podemos evitar por ejemplo conectar a nuestro sistema de la cuenta  ''root''.<br>
 
Ahora que ya tenemos otro usuario podemos evitar por ejemplo conectar a nuestro sistema de la cuenta  ''root''.<br>
  
Línea 37: Línea 58:
 
<syntaxhighlight lang="bash">  vi /etc/ssh/sshd_config </syntaxhighlight>
 
<syntaxhighlight lang="bash">  vi /etc/ssh/sshd_config </syntaxhighlight>
  
;Buscar y editar la siguiente línea en el archivo sshd_config, cambiando el  ''S�'' par ''no''. Necesario que descomentar la línea borrando el símbolo #.
+
;Buscar y editar la siguiente línea en el archivo sshd_config, cambiando el  '''' par ''no''. Necesario que descomentar la línea borrando el símbolo #.
 
<syntaxhighlight lang="bash">  PermitRootLogin no </syntaxhighlight>
 
<syntaxhighlight lang="bash">  PermitRootLogin no </syntaxhighlight>
  
 
Recuerda a continuación, guarde y cierre el archivo de configuración. <br>
 
Recuerda a continuación, guarde y cierre el archivo de configuración. <br>
 
;Cuando se reiniciará el servicio SSH los cambios surtirán efecto.
 
;Cuando se reiniciará el servicio SSH los cambios surtirán efecto.
<syntaxhighlight lang="bash"> systemctl restart ssh </syntaxhighlight>
+
<syntaxhighlight lang="bash"> /etc/init.d/ssh restart </syntaxhighlight>
 
<br>
 
<br>
<div style="background-color: #FFCC99;"> '''Consej''': Se recomienda que siempre mantenga el SSH terminal como root para la duración de las pruebas. Maltrato de hecho haría que la conexión a su sistema imposible. <br>
+
<div style="background-color: #FFCC99;"> '''Consejo ''': Se recomienda que siempre mantenga el SSH terminal como root para la duración de las pruebas. Maltrato de hecho haría que la conexión a su sistema imposible. <br>
 
Por lo tanto se recomiendan la apertura de una segunda terminal para probar la conexión y de los cambios en el nuevo usuario. </div>
 
Por lo tanto se recomiendan la apertura de una segunda terminal para probar la conexión y de los cambios en el nuevo usuario. </div>
  
 
==SSH access ==
 
==SSH access ==
 
Gracias a las soluciones previamente nuestro sistema ya está asegurado, pero todavía podemos mejorar esta seguridad mediante la implementación de un archivo de clave de autenticación. <br>
 
Gracias a las soluciones previamente nuestro sistema ya está asegurado, pero todavía podemos mejorar esta seguridad mediante la implementación de un archivo de clave de autenticación. <br>
Generalmente se realiza la conexión y la autenticación en el sistema a través de un par de inicio de /contraseña. Podemos reemplazar este método no es infalible por la autenticación mediante clave. <br>
+
Generalmente se realiza la conexión y la autenticación en el sistema a través de un par de inicio de sesión /contraseña. Podemos reemplazar este método no es infalible por la autenticación mediante clave. <br>
 
Una vez que la implementación de cambio durante cada nuevo sistema de conexión a ver si el usuario intenta conectar tiene una clave válida y si tiene permiso para realizar un inicio de sesión para este usuario. <br>
 
Una vez que la implementación de cambio durante cada nuevo sistema de conexión a ver si el usuario intenta conectar tiene una clave válida y si tiene permiso para realizar un inicio de sesión para este usuario. <br>
Aunque ningún método es infalible llave de autenticación requiere que la persona que desea entrar en el sistema que tiene este archivo. Por lo tanto, nos podemos reforzar la seguridad frente a una contraseña que puede ser conjeturada por  ''fuerza bru''<br>
+
Aunque ningún método es infalible llave de autenticación requiere que la persona que desea entrar en el sistema que tiene este archivo. Por lo tanto, nos podemos reforzar la seguridad frente a una contraseña que puede ser conjeturada por  ''fuerza bruta ''<br>
 
Sin embargo, existen varios inconvenientes, cuando se selecciona este método, es imprescindible que el archivo de clave independientemente de la ubicación de la conexión, por ejemplo entre las computadoras en el trabajo y en casa. <br>
 
Sin embargo, existen varios inconvenientes, cuando se selecciona este método, es imprescindible que el archivo de clave independientemente de la ubicación de la conexión, por ejemplo entre las computadoras en el trabajo y en casa. <br>
 
También debe agregar manualmente cada nuevo archivo clave que permitirá el acceso a su sistema, en el caso por ejemplo de agregar un nuevo usuario o acceso por una persona autorizada para su sistema.
 
También debe agregar manualmente cada nuevo archivo clave que permitirá el acceso a su sistema, en el caso por ejemplo de agregar un nuevo usuario o acceso por una persona autorizada para su sistema.
  
=== Cambiar el puerto predeter ===
+
=== Cambiar el puerto predeterminado  ===
 
Una de las maneras más eficaces detener pruebas automáticas contra servidores es cambiar el puerto SSH por defecto en su máquina.
 
Una de las maneras más eficaces detener pruebas automáticas contra servidores es cambiar el puerto SSH por defecto en su máquina.
 
Para hacer esto edite su archivo  '''sshd_config'''
 
Para hacer esto edite su archivo  '''sshd_config'''
Línea 63: Línea 84:
 
Port 22
 
Port 22
 
</syntaxhighlight>
 
</syntaxhighlight>
; Reiniciar el servicio SSH
+
; Reiniciar el servicio SSH  
 
<syntaxhighlight lang="bash"> /etc/init.d/ssh restart </syntaxhighlight>
 
<syntaxhighlight lang="bash"> /etc/init.d/ssh restart </syntaxhighlight>
<div style="background-color: #FFCC99;"> '''Not''': Ahora conectarse a su máquina se especifica el puerto SSH : SSH usuario @Direcció -p Votre_port</div>
+
<div style="background-color: #FFCC99;"> '''Nota ''': Ahora conectarse a su máquina se especifica el puerto SSH : SSH usuario @Dirección IP  -p Votre_port</div>
 
<br>
 
<br>
 
=== Generar un par clave  ===
 
=== Generar un par clave  ===
Línea 76: Línea 97:
 
<syntaxhighlight lang="bash"> ssh-keygen </syntaxhighlight>
 
<syntaxhighlight lang="bash"> ssh-keygen </syntaxhighlight>
  
=== Copiar un par de claves ===
+
=== Copiar un par de claves ===
 
Cuando se genera el par que ahora indicamos el servidor Cuáles son las personas autorizadas para conectarse a nuestro nuevo usuario.
 
Cuando se genera el par que ahora indicamos el servidor Cuáles son las personas autorizadas para conectarse a nuestro nuevo usuario.
 
Para ello cada usuario de nuestro sistema tiene un archivo  '''ssh/authorized_keys''' presente en el directorio local.
 
Para ello cada usuario de nuestro sistema tiene un archivo  '''ssh/authorized_keys''' presente en el directorio local.
Línea 88: Línea 109:
 
chmod 700 .ssh
 
chmod 700 .ssh
 
</syntaxhighlight>
 
</syntaxhighlight>
;Ahora tenemos que crear un archivo  '''authorized_keys''' en nuestra carpeta .ss
+
;Ahora tenemos que crear un archivo  '''authorized_keys''' en nuestra carpeta .ssh
 
<syntaxhighlight lang="bash"> vi .ssh/authorized_keys
 
<syntaxhighlight lang="bash"> vi .ssh/authorized_keys
 
</syntaxhighlight>
 
</syntaxhighlight>
Línea 100: Línea 121:
  
  
==Firewal==
+
==Firewall ==
 
Utilizando un firewall se recomienda asegurar su sistema. <br>
 
Utilizando un firewall se recomienda asegurar su sistema. <br>
IPTables es seguramente el más conocidos cortafuegos de software disponibles para Debian.
+
El firewall es a menudo la primera línea de defensa de su equipo contra el exterior, es de hecho quien analizará el tráfico que pasa entre su máquina y el exterior. <br>
 +
Gracias a lo cortafuegos son capaces de bloquear o permitir acceso a su máquina desde el exterior a ciertos protocolos o puertos, garantizando la seguridad de su sistema.
 +
===Las políticas de seguridad ===
 +
En el caso de un servidor de seguridad es necesario definir una política de seguridad a implementar. Sin una definición efectiva la opción de bloqueo o permiso de los puertos y protocolos sería bastante al azar. <br>
 +
Por lo tanto es necesario definir de antemano una política clara para la seguridad de su red informática o su máquina. <br>
 +
<br>
 +
Las diferentes políticas de uso general incluyen políticas de  '''lista blanca ''' y de  '''la lista negra '''.
 +
====Lista blanca ====
 +
El principio de la política de la  '''lista blanca ''' es para bloquear todo el tráfico de entrar sin excepción y permitir explícitamente sólo los puertos y protocolos que estamos absolutamente seguros de su seguridad.
 +
Esta política de seguridad tiene muchas ventajas en comparación con el  '''lista negra '''. De hecho todo el tráfico no sea explícitamente permitido será bloqueado, esto evitará que más intentos de conexión que no necesariamente habría tenido el reflejo para garantizar. <br>
 +
Una de las desventajas de esta política es la obligación de tener que definir cada puertos o protocolos utilizados para no bloquear la ejecución de nuestros servicios  ( por ejemplo el protocolo  ''http'' en el puerto  80 )Por lo tanto debemos saber cada puerto utilizado por la máquina y mantener las reglas cuando agregar o eliminar un servicio.
 +
Respecto a la saliente en la mayoría de los casos no se considera como riesgoso a todos autorizados, de hecho se supone que sabe el tráfico dejando su máquina o red. Sin embargo, se recomienda mantener un seguimiento de la seguridad saliente.
 +
====Lista negra ====
 +
El principio de la política de la  '''lista negra ''' para permitir todo el tráfico entrante sin excepción y bloquear explícitamente sólo los puertos y protocolos que estamos seguros que suponen un riesgo para la seguridad. <br>
 +
Esta política de seguridad tiene muchos inconvenientes en comparación con el  '''lista blanca '''. De hecho permite entrar sin ninguna restricción todo el tráfico no se recomienda, bloqueo involucrado sólo en el caso de un puerto o protocolo establecido explícitamente.
 +
Respecto a la saliente en la mayoría de los casos no se considera como riesgoso a todos autorizados, de hecho se supone que sabe el tráfico dejando su máquina o red. Sin embargo, se recomienda mantener un seguimiento de la seguridad saliente.
 +
===IPTables ===
 +
IPTables es seguramente el más conocido firewall de software disponible para Debian.
  
Aquí están algunos comandos prácticos software  :
+
Aquí están algunos comandos prácticos sobre :
;Instalación de iptabl
+
;Instalación de iptables
 
<syntaxhighlight lang="bash"> sudo apt-get install iptables </syntaxhighlight>
 
<syntaxhighlight lang="bash"> sudo apt-get install iptables </syntaxhighlight>
; Lista de las normas actualmente establec
+
; Lista de las normas actualmente establecidas
 
<syntaxhighlight lang="bash"> sudo iptables -L </syntaxhighlight>
 
<syntaxhighlight lang="bash"> sudo iptables -L </syntaxhighlight>
; Las normas establecidas de  
+
; Las normas establecidas de purga
 
<syntaxhighlight lang="bash">
 
<syntaxhighlight lang="bash">
 
sudo iptables -F
 
sudo iptables -F
 
sudo iptables -X
 
sudo iptables -X
 
</syntaxhighlight>
 
</syntaxhighlight>
;Agregar una regla
+
;Agregar una regla  
 
<syntaxhighlight lang="bash">
 
<syntaxhighlight lang="bash">
# Autoriser les connexions entrantes sur le port ssh(22) tcp depuis l'adresse ip 10.0.0.1 par exemple
+
# Autoriser les connexions entrantes sur le port ssh(22) tcp depuis l'adresse ip x.x.x.x par exemple
sudo iptables -A INPUT -p tcp --dport ssh -s 10.0.0.1 -j ACCEPT
+
sudo iptables -A INPUT -p tcp --dport ssh -s x.x.x.x -j ACCEPT
 
</syntaxhighlight>
 
</syntaxhighlight>
<div style="background-color: #FFCC99;"> '''Not''': Atención en el caso de una IP fija, como cambiará tu IP no podrás iniciar sesión en SSH en su servidor. </div>
+
<div style="background-color: #FFCC99;"> '''Nota ''': Atención en el caso de una dirección IP dinámica, como cambiará tu IP no podrás iniciar sesión en SSH en su servidor !<br>
 +
Tenga cuidado al asignar una dirección IP puede ser dinámica, por ejemplo el de tu internet en el hogar de la caja. </div>
 
;Eliminar una regla
 
;Eliminar una regla
 
<syntaxhighlight lang="bash">
 
<syntaxhighlight lang="bash">
Línea 128: Línea 167:
 
[[Category:Servidor_dedicado]]
 
[[Category:Servidor_dedicado]]
 
[[Category:Linux]]
 
[[Category:Linux]]
 
 
<br />
 
<br />
 
<comments />
 
<comments />

Revisión actual del 11:04 6 oct 2021

es:Su máquina Debian he:אבטחת הרכב דביאן שלה ru:Обеспечение его машины под управлением Debian ja:その Debian マシンを確保 ar:تأمين جهاز به دبيان zh:确保其 Debian 的机器 ro:Asigurarea sa maşină de Debian pl:Zabezpieczanie swojej maszynie Debiana de:Sicherung ihrer Debian-Rechner nl:Beveiligen zijn Debian machine it:Protezione relativa macchina Debian pt:Protegendo sua máquina Debian en:Securing its Debian machine fr:Sécuriser sa machine Debian

Este artículo ha sido traducido por un software de traducción automática. Usted puede ver el origen artículo aquí.

Introducción

Garantizar que la seguridad de su máquina es un punto esencial que No. se debe subestimar bajo pena de convertirse en el blanco de varios ataques. La potencia actual de los ordenadores hoy en día hacer intrusiones como las técnicas de ataque de fuerza bruta o fuerza bruta muy simple de aplicar por a obtener acceso de administrador a la meta en una máquina del tiempo corto.

En esta página encontrará una lista no exhaustiva de pistas con el fin de asegurar su servidor Debian en diferentes puntos como la cuenta raíz SSH acceso, firewall, etc....

ADVERTENCIA : Antes de realizar cambios a su sistema siempre plan de copia de seguridad de tus archivos en caso de manipulación inadecuada.
En un servidor de producción, asegúrese de realizar estas operaciones durante las horas para minimizar el impacto de sus acciones.

Requisitos

Uno de lo requisito previo esencial para la seguridad de su servidor es mantener sus paquetes en su versión la más actualizada posible. Un gran número de defectos descubiertos es corregido rápidamente por los desarrolladores de paquetes y aplicaciones involucradas, siempre que sea posible debe conservar siempre su sistema de actualización y así evitar problemas de seguridad. Mantener actualizado su sistema Debian, asegúrese de que tener una lista de los repositorios oficiales para actualizar. Usted puede encontrar una lista de las disponibles en repositorios Ikoula e instrucciones de instalación en esta dirección.

Raíz de acceso

Permitir conexiones desde cuenta raíz Después del primer uso no es generalmente una buena idea. De hecho la cuenta raíz ou superusuario tiene acceso completo a su sistema.
Si un atacante trata de acceder a cuenta superusuario Tendrá control total de su máquina.

El comando sudo

Para reducir el riesgo por ejemplo, puede Agregar un usuario que, si es necesario, los derechos de nuestra superusuario mediante el comando sudo.

Primero necesitamos crear un nuevo usuario
 adduser votre_utilisateur

A continuación, rellena los campos así como la contraseña que preferentemente se compone de letras minúsculas, letras mayúsculas y números.

Ahora vamos a instalar sudo
 apt-get install sudo
Ahora que nuestro usuario se crea y que sudo está instalado tendrá que estar en el grupo de sudo para utilizar el comando
 usermod -a -G sudo votre_utilisateur

Desde ahora nuestro usuario puede, si es necesario preceder el comando desea sudo para ejecutar con permisos de superusuario .
Le pedirá la contraseña antes de ejecutar cualquier comando. 

 sudo cat /etc/password

Prohibir el login de root

Ahora que ya tenemos otro usuario podemos evitar por ejemplo conectar a nuestro sistema de la cuenta root.

Primero tienes que editar la configuración de la ssh servicio archivo
  vi /etc/ssh/sshd_config
Buscar y editar la siguiente línea en el archivo sshd_config, cambiando el par no. Necesario que descomentar la línea borrando el símbolo #.
  PermitRootLogin no

Recuerda a continuación, guarde y cierre el archivo de configuración.

Cuando se reiniciará el servicio SSH los cambios surtirán efecto.
 /etc/init.d/ssh restart


Consejo : Se recomienda que siempre mantenga el SSH terminal como root para la duración de las pruebas. Maltrato de hecho haría que la conexión a su sistema imposible.
Por lo tanto se recomiendan la apertura de una segunda terminal para probar la conexión y de los cambios en el nuevo usuario.

SSH access

Gracias a las soluciones previamente nuestro sistema ya está asegurado, pero todavía podemos mejorar esta seguridad mediante la implementación de un archivo de clave de autenticación.
Generalmente se realiza la conexión y la autenticación en el sistema a través de un par de inicio de sesión /contraseña. Podemos reemplazar este método no es infalible por la autenticación mediante clave.
Una vez que la implementación de cambio durante cada nuevo sistema de conexión a ver si el usuario intenta conectar tiene una clave válida y si tiene permiso para realizar un inicio de sesión para este usuario.
Aunque ningún método es infalible llave de autenticación requiere que la persona que desea entrar en el sistema que tiene este archivo. Por lo tanto, nos podemos reforzar la seguridad frente a una contraseña que puede ser conjeturada por fuerza bruta
Sin embargo, existen varios inconvenientes, cuando se selecciona este método, es imprescindible que el archivo de clave independientemente de la ubicación de la conexión, por ejemplo entre las computadoras en el trabajo y en casa.
También debe agregar manualmente cada nuevo archivo clave que permitirá el acceso a su sistema, en el caso por ejemplo de agregar un nuevo usuario o acceso por una persona autorizada para su sistema.

Cambiar el puerto predeterminado

Una de las maneras más eficaces detener pruebas automáticas contra servidores es cambiar el puerto SSH por defecto en su máquina. Para hacer esto edite su archivo sshd_config 

 vi /etc/ssh/sshd_config
Buscar y editar la siguiente línea del archivo cambiando el valor por uno
# What ports, IPs and protocols we listen for
Port 22
Reiniciar el servicio SSH
 /etc/init.d/ssh restart
Nota : Ahora conectarse a su máquina se especifica el puerto SSH : SSH usuario @Dirección IP -p Votre_port


Generar un par clave

Windows

PuTTYgen sous Windows

Puede generar su clave de PuTTYgen software disponible para Windows.

Linux

Bajo linux puede escribir el siguiente comando : 

 ssh-keygen

Copiar un par de claves

Cuando se genera el par que ahora indicamos el servidor Cuáles son las personas autorizadas para conectarse a nuestro nuevo usuario. Para ello cada usuario de nuestro sistema tiene un archivo ssh/authorized_keys presente en el directorio local.

Si actualmente se genera el par de claves en el sistema Debian puede utilizar el siguiente comando para copiar automáticamente la llave en el archivo.
 ssh-copy-id votre_utilisateur@IP_VotreServeur
También puede Agregar manualmente la clave pública al archivo de personas autorizadas

Si no existe la carpeta .ssh en carpeta local de nuestro usuario lo creamos 

mkdir .ssh
chmod 700 .ssh
Ahora tenemos que crear un archivo authorized_keys en nuestra carpeta .ssh
 vi .ssh/authorized_keys
La clave pública se añaden al archivo, el resultado debe ser similar a este ejemplo
 ssh-rsa AAAB3NzaC1yc2EAAAADAQaSdMTJXMy3MtlQhva+j9CgguyVbU3nCKneB+KjKiS/1rggpFmu3HbXBnWSUdf votre_utilisateur@machine.locale

Guarda y cierra el archivo.

Por razones de seguridad limitará el acceso a nuestro archivo
 chmod 600 .ssh/authorized_keys

A partir de ahora nuestro usuario puede conectarse a la máquina.


Firewall

Utilizando un firewall se recomienda asegurar su sistema.
El firewall es a menudo la primera línea de defensa de su equipo contra el exterior, es de hecho quien analizará el tráfico que pasa entre su máquina y el exterior.
Gracias a lo cortafuegos son capaces de bloquear o permitir acceso a su máquina desde el exterior a ciertos protocolos o puertos, garantizando la seguridad de su sistema.

Las políticas de seguridad

En el caso de un servidor de seguridad es necesario definir una política de seguridad a implementar. Sin una definición efectiva la opción de bloqueo o permiso de los puertos y protocolos sería bastante al azar.
Por lo tanto es necesario definir de antemano una política clara para la seguridad de su red informática o su máquina.

Las diferentes políticas de uso general incluyen políticas de lista blanca y de la lista negra .

Lista blanca

El principio de la política de la lista blanca es para bloquear todo el tráfico de entrar sin excepción y permitir explícitamente sólo los puertos y protocolos que estamos absolutamente seguros de su seguridad. Esta política de seguridad tiene muchas ventajas en comparación con el lista negra . De hecho todo el tráfico no sea explícitamente permitido será bloqueado, esto evitará que más intentos de conexión que no necesariamente habría tenido el reflejo para garantizar.
Una de las desventajas de esta política es la obligación de tener que definir cada puertos o protocolos utilizados para no bloquear la ejecución de nuestros servicios ( por ejemplo el protocolo http en el puerto 80 )Por lo tanto debemos saber cada puerto utilizado por la máquina y mantener las reglas cuando agregar o eliminar un servicio. Respecto a la saliente en la mayoría de los casos no se considera como riesgoso a todos autorizados, de hecho se supone que sabe el tráfico dejando su máquina o red. Sin embargo, se recomienda mantener un seguimiento de la seguridad saliente.

Lista negra

El principio de la política de la lista negra para permitir todo el tráfico entrante sin excepción y bloquear explícitamente sólo los puertos y protocolos que estamos seguros que suponen un riesgo para la seguridad.
Esta política de seguridad tiene muchos inconvenientes en comparación con el lista blanca . De hecho permite entrar sin ninguna restricción todo el tráfico no se recomienda, bloqueo involucrado sólo en el caso de un puerto o protocolo establecido explícitamente. Respecto a la saliente en la mayoría de los casos no se considera como riesgoso a todos autorizados, de hecho se supone que sabe el tráfico dejando su máquina o red. Sin embargo, se recomienda mantener un seguimiento de la seguridad saliente.

IPTables

IPTables es seguramente el más conocido firewall de software disponible para Debian.

Aquí están algunos comandos prácticos sobre :

Instalación de iptables
 sudo apt-get install iptables
Lista de las normas actualmente establecidas
 sudo iptables -L
Las normas establecidas de purga
sudo iptables -F
sudo iptables -X
Agregar una regla
# Autoriser les connexions entrantes sur le port ssh(22) tcp depuis l'adresse ip x.x.x.x par exemple
sudo iptables -A INPUT -p tcp --dport ssh -s x.x.x.x -j ACCEPT
Nota : Atención en el caso de una dirección IP dinámica, como cambiará tu IP no podrás iniciar sesión en SSH en su servidor !
Tenga cuidado al asignar una dirección IP puede ser dinámica, por ejemplo el de tu internet en el hogar de la caja.
Eliminar una regla
# Supprimer la règle n°2 de la catégorie OUTPUT
sudo iptables -D OUTPUT 2



No puedes publicar comentarios.

Obtenido de «https://es-wiki.ikoula.com/index.php?title=Su_máquina_Debian&oldid=11240»