Su máquina Debian

De ES Ikoula wiki
Jump to navigation Jump to search

fr:Sécuriser sa machine Debian

Este art�culo ha sido traducido por un software de traducci�n autom�tica. Usted puede ver el origen art�culo aqu�.

Introducci�

Garantizar que la seguridad de su máquina es un punto esencial que N se debe subestimar bajo pena de convertirse en el blanco de varios ataques. La potencia actual de los ordenadores hoy en día hacer intrusiones como las técnicas de ataque de fuerza bruta o fuerza br muy simple de aplicar poa obtener acceso de administrador a la meta en una máquina del tiempo corto.

En esta página encontrará una lista no exhaustiva de pistas con el fin de asegurar su servidor Debian en diferentes puntos como la cuenta ra� SS acceso, firewall, etc....

ADVERTENCIA : Antes de realizar cambios a su sistema siempre plan de copia de seguridad de tus archivos en caso de manipulación inadecuada
En un servidor de producción, asegúrese de realizar estas operaciones durante las horas para minimizar el impacto de sus acciones.

Requisitos

Uno de lo requisito previo esencial para la seguridad de su servidor es mantener sus paquetes en su versión la más actualizada posible. Un gran número de defectos descubiertos es corregido rápidamente por los desarrolladores de paquetes y aplicaciones involucradas, siempre que sea posible debe conservar siempre su sistema de actualización y así evitar problemas de seguridad. Mantener actualizado su sistema Debian, asegúrese de que tener una lista de los repositorios oficiales para actualizar. Usted puede encontrar una lista de las disponibles en repositorios Ikoula e instrucciones de inst en esta dirección.

Raíz de acc

Permitir conexiones desde cuent ra� Después del primer uso no es generalmente una buena idea. De hecho la cuenta ra� ou superusuario tiene acceso completo a su sistema.
Si un atacante trata de acceder a cuenta superusuario Tendrá control total de su máquina.

El comando sudo

Para reducir el riesgo por ejemplo, puede Agregar un usuario que, si es necesario, los derechos de nuestra superusuario mediante el comando sudo.

Primero necesitamos crear un nuevo usuario
 adduser votre_utilisateur

A continuación, rellena los campos así como la contraseña que preferentemente se compone de letras minúsculas, letras mayúsculas y números.

Ahora vamos a instalar sudo
 apt-get install sudo
Ahora que nuestro usuario se crea y que sudo está instalado tendrá que estar en el grupo de sudo para utilizar el comando
 usermod -a -G sudo votre_utilisateur

Desde ahora nuestro usuario puede, si es necesario preceder el comando desea sudo para ejecutar con permisos de superusuario .
Le pedirá la contraseña antes de ejecutar cualquier comando. 

 sudo cat /etc/password

Prohibir el login de r

Ahora que ya tenemos otro usuario podemos evitar por ejemplo conectar a nuestro sistema de la cuenta root.

Primero tienes que editar la configuración de la ssh servicio archivo
  vi /etc/ssh/sshd_config
Buscar y editar la siguiente línea en el archivo sshd_config, cambiando el S� par no. Necesario que descomentar la línea borrando el símbolo #.
  PermitRootLogin no

Recuerda a continuación, guarde y cierre el archivo de configuración.

Cuando se reiniciará el servicio SSH los cambios surtirán efecto.
 systemctl restart ssh


Consej: Se recomienda que siempre mantenga el SSH terminal como root para la duración de las pruebas. Maltrato de hecho haría que la conexión a su sistema imposible.
Por lo tanto se recomiendan la apertura de una segunda terminal para probar la conexión y de los cambios en el nuevo usuario.

SSH access

Gracias a las soluciones previamente nuestro sistema ya está asegurado, pero todavía podemos mejorar esta seguridad mediante la implementación de un archivo de clave de autenticación.
Generalmente se realiza la conexión y la autenticación en el sistema a través de un par de inicio de /contraseña. Podemos reemplazar este método no es infalible por la autenticación mediante clave.
Una vez que la implementación de cambio durante cada nuevo sistema de conexión a ver si el usuario intenta conectar tiene una clave válida y si tiene permiso para realizar un inicio de sesión para este usuario.
Aunque ningún método es infalible llave de autenticación requiere que la persona que desea entrar en el sistema que tiene este archivo. Por lo tanto, nos podemos reforzar la seguridad frente a una contraseña que puede ser conjeturada por fuerza bru
Sin embargo, existen varios inconvenientes, cuando se selecciona este método, es imprescindible que el archivo de clave independientemente de la ubicación de la conexión, por ejemplo entre las computadoras en el trabajo y en casa.
También debe agregar manualmente cada nuevo archivo clave que permitirá el acceso a su sistema, en el caso por ejemplo de agregar un nuevo usuario o acceso por una persona autorizada para su sistema.

Cambiar el puerto predeter

Una de las maneras más eficaces detener pruebas automáticas contra servidores es cambiar el puerto SSH por defecto en su máquina. Para hacer esto edite su archivo sshd_config 

 vi /etc/ssh/sshd_config
Buscar y editar la siguiente línea del archivo cambiando el valor por uno
# What ports, IPs and protocols we listen for
Port 22
Reiniciar el servicio SSH
 /etc/init.d/ssh restart
Not: Ahora conectarse a su máquina se especifica el puerto SSH : SSH usuario @Direcció -p Votre_port


Generar un par clave

Windows

PuTTYgen sous Windows

Puede generar su clave de PuTTYgen software disponible para Windows.

Linux

Bajo linux puede escribir el siguiente comando : 

 ssh-keygen

Copiar un par de claves

Cuando se genera el par que ahora indicamos el servidor Cuáles son las personas autorizadas para conectarse a nuestro nuevo usuario. Para ello cada usuario de nuestro sistema tiene un archivo ssh/authorized_keys presente en el directorio local.

Si actualmente se genera el par de claves en el sistema Debian puede utilizar el siguiente comando para copiar automáticamente la llave en el archivo.
 ssh-copy-id votre_utilisateur@IP_VotreServeur
También puede Agregar manualmente la clave pública al archivo de personas autorizadas

Si no existe la carpeta .ssh en carpeta local de nuestro usuario lo creamos 

mkdir .ssh
chmod 700 .ssh
Ahora tenemos que crear un archivo authorized_keys en nuestra carpeta .ss
 vi .ssh/authorized_keys
La clave pública se añaden al archivo, el resultado debe ser similar a este ejemplo
 ssh-rsa AAAB3NzaC1yc2EAAAADAQaSdMTJXMy3MtlQhva+j9CgguyVbU3nCKneB+KjKiS/1rggpFmu3HbXBnWSUdf votre_utilisateur@machine.locale

Guarda y cierra el archivo.

Por razones de seguridad limitará el acceso a nuestro archivo
 chmod 600 .ssh/authorized_keys

A partir de ahora nuestro usuario puede conectarse a la máquina.


Firewal

Utilizando un firewall se recomienda asegurar su sistema.
IPTables es seguramente el más conocidos cortafuegos de software disponibles para Debian.

Aquí están algunos comandos prácticos software :

Instalación de iptabl
 sudo apt-get install iptables
Lista de las normas actualmente establec
 sudo iptables -L
Las normas establecidas de
sudo iptables -F
sudo iptables -X
Agregar una regla
# Autoriser les connexions entrantes sur le port ssh(22) tcp depuis l'adresse ip 10.0.0.1 par exemple
sudo iptables -A INPUT -p tcp --dport ssh -s 10.0.0.1 -j ACCEPT
Not: Atención en el caso de una IP fija, como cambiará tu IP no podrás iniciar sesión en SSH en su servidor.
Eliminar una regla
# Supprimer la règle n°2 de la catégorie OUTPUT
sudo iptables -D OUTPUT 2



No puedes publicar comentarios.

Obtenido de «https://es-wiki.ikoula.com/index.php?title=Su_máquina_Debian&oldid=3240»