Su máquina Debian

zh:确保其 Debian 的机器 ro:Asigurarea sa maşină de Debian pl:Zabezpieczanie swojej maszynie Debiana de:Sicherung ihrer Debian-Rechner nl:Beveiligen zijn Debian machine it:Protezione relativa macchina Debian pt:Protegendo sua máquina Debian en:Securing its Debian machine fr:Sécuriser sa machine Debian

Este artículo ha sido traducido por un software de traducción automática. Usted puede ver el origen artículo aquí.

Introducción

Garantizar que la seguridad de su máquina es un punto esencial que No. se debe subestimar bajo pena de convertirse en el blanco de varios ataques. La potencia actual de los ordenadores hoy en día hacer intrusiones como las técnicas de ataque de fuerza bruta o fuerza bruta muy simple de aplicar por a obtener acceso de administrador a la meta en una máquina del tiempo corto.

En esta página encontrará una lista no exhaustiva de pistas con el fin de asegurar su servidor Debian en diferentes puntos como la cuenta raíz SSH acceso, firewall, etc....

Requisitos

Uno de lo requisito previo esencial para la seguridad de su servidor es mantener sus paquetes en su versión la más actualizada posible. Un gran número de defectos descubiertos es corregido rápidamente por los desarrolladores de paquetes y aplicaciones involucradas, siempre que sea posible debe conservar siempre su sistema de actualización y así evitar problemas de seguridad. Mantener actualizado su sistema Debian, asegúrese de que tener una lista de los repositorios oficiales para actualizar. Usted puede encontrar una lista de las disponibles en repositorios Ikoula e instrucciones de instalación en esta dirección.

Raíz de acceso

Permitir conexiones desde cuenta raíz Después del primer uso no es generalmente una buena idea. De hecho la cuenta raíz ou superusuario tiene acceso completo a su sistema.
Si un atacante trata de acceder a cuenta superusuario Tendrá control total de su máquina.

El comando sudo

Para reducir el riesgo por ejemplo, puede Agregar un usuario que, si es necesario, los derechos de nuestra superusuario mediante el comando sudo.

Primero necesitamos crear un nuevo usuario

 adduser votre_utilisateur

A continuación, rellena los campos así como la contraseña que preferentemente se compone de letras minúsculas, letras mayúsculas y números.

Ahora vamos a instalar sudo

 apt-get install sudo

Ahora que nuestro usuario se crea y que sudo está instalado tendrá que estar en el grupo de sudo para utilizar el comando

 usermod -a -G sudo votre_utilisateur

Desde ahora nuestro usuario puede, si es necesario preceder el comando desea sudo para ejecutar con permisos de superusuario .
Le pedirá la contraseña antes de ejecutar cualquier comando.

 sudo cat /etc/password

Prohibir el login de root

Ahora que ya tenemos otro usuario podemos evitar por ejemplo conectar a nuestro sistema de la cuenta root.

Primero tienes que editar la configuración de la ssh servicio archivo

  vi /etc/ssh/sshd_config

Buscar y editar la siguiente línea en el archivo sshd_config, cambiando el Sí par no. Necesario que descomentar la línea borrando el símbolo #.

  PermitRootLogin no

Recuerda a continuación, guarde y cierre el archivo de configuración.

Cuando se reiniciará el servicio SSH los cambios surtirán efecto.

 /etc/init.d/ssh restart

SSH access

Gracias a las soluciones previamente nuestro sistema ya está asegurado, pero todavía podemos mejorar esta seguridad mediante la implementación de un archivo de clave de autenticación.
Generalmente se realiza la conexión y la autenticación en el sistema a través de un par de inicio de sesión /contraseña. Podemos reemplazar este método no es infalible por la autenticación mediante clave.
Una vez que la implementación de cambio durante cada nuevo sistema de conexión a ver si el usuario intenta conectar tiene una clave válida y si tiene permiso para realizar un inicio de sesión para este usuario.
Aunque ningún método es infalible llave de autenticación requiere que la persona que desea entrar en el sistema que tiene este archivo. Por lo tanto, nos podemos reforzar la seguridad frente a una contraseña que puede ser conjeturada por fuerza bruta
Sin embargo, existen varios inconvenientes, cuando se selecciona este método, es imprescindible que el archivo de clave independientemente de la ubicación de la conexión, por ejemplo entre las computadoras en el trabajo y en casa.
También debe agregar manualmente cada nuevo archivo clave que permitirá el acceso a su sistema, en el caso por ejemplo de agregar un nuevo usuario o acceso por una persona autorizada para su sistema.

Cambiar el puerto predeterminado

Una de las maneras más eficaces detener pruebas automáticas contra servidores es cambiar el puerto SSH por defecto en su máquina. Para hacer esto edite su archivo sshd_config

 vi /etc/ssh/sshd_config

Buscar y editar la siguiente línea del archivo cambiando el valor por uno

# What ports, IPs and protocols we listen for
Port 22

Reiniciar el servicio SSH

 /etc/init.d/ssh restart

Generar un par clave

Windows

PuTTYgen sous Windows

Puede generar su clave de PuTTYgen software disponible para Windows.

Linux

Bajo linux puede escribir el siguiente comando :

 ssh-keygen

Copiar un par de claves

Cuando se genera el par que ahora indicamos el servidor Cuáles son las personas autorizadas para conectarse a nuestro nuevo usuario. Para ello cada usuario de nuestro sistema tiene un archivo ssh/authorized_keys presente en el directorio local.

Si actualmente se genera el par de claves en el sistema Debian puede utilizar el siguiente comando para copiar automáticamente la llave en el archivo.

 ssh-copy-id votre_utilisateur@IP_VotreServeur

También puede Agregar manualmente la clave pública al archivo de personas autorizadas

Si no existe la carpeta .ssh en carpeta local de nuestro usuario lo creamos

mkdir .ssh
chmod 700 .ssh

Ahora tenemos que crear un archivo authorized_keys en nuestra carpeta .ssh

 vi .ssh/authorized_keys

La clave pública se añaden al archivo, el resultado debe ser similar a este ejemplo

 ssh-rsa AAAB3NzaC1yc2EAAAADAQaSdMTJXMy3MtlQhva+j9CgguyVbU3nCKneB+KjKiS/1rggpFmu3HbXBnWSUdf votre_utilisateur@machine.locale

Guarda y cierra el archivo.

Por razones de seguridad limitará el acceso a nuestro archivo

 chmod 600 .ssh/authorized_keys

A partir de ahora nuestro usuario puede conectarse a la máquina.

Firewall

Utilizando un firewall se recomienda asegurar su sistema.
El firewall es a menudo la primera línea de defensa de su equipo contra el exterior, es de hecho quien analizará el tráfico que pasa entre su máquina y el exterior.
Gracias a lo cortafuegos son capaces de bloquear o permitir acceso a su máquina desde el exterior a ciertos protocolos o puertos, garantizando la seguridad de su sistema.

Las políticas de seguridad

En el caso de un servidor de seguridad es necesario definir una política de seguridad a implementar. Sin una definición efectiva la opción de bloqueo o permiso de los puertos y protocolos sería bastante al azar.
Por lo tanto es necesario definir de antemano una política clara para la seguridad de su red informática o su máquina.

Las diferentes políticas de uso general incluyen políticas de lista blanca y de la lista negra .

Lista blanca

El principio de la política de la lista blanca es para bloquear todo el tráfico de entrar sin excepción y permitir explícitamente sólo los puertos y protocolos que estamos absolutamente seguros de su seguridad. Esta política de seguridad tiene muchas ventajas en comparación con el lista negra . De hecho todo el tráfico no sea explícitamente permitido será bloqueado, esto evitará que más intentos de conexión que no necesariamente habría tenido el reflejo para garantizar.
Una de las desventajas de esta política es la obligación de tener que definir cada puertos o protocolos utilizados para no bloquear la ejecución de nuestros servicios ( por ejemplo el protocolo http en el puerto 80 )Por lo tanto debemos saber cada puerto utilizado por la máquina y mantener las reglas cuando agregar o eliminar un servicio. Respecto a la saliente en la mayoría de los casos no se considera como riesgoso a todos autorizados, de hecho se supone que sabe el tráfico dejando su máquina o red. Sin embargo, se recomienda mantener un seguimiento de la seguridad saliente.

Lista negra

El principio de la política de la lista negra para permitir todo el tráfico entrante sin excepción y bloquear explícitamente sólo los puertos y protocolos que estamos seguros que suponen un riesgo para la seguridad.
Esta política de seguridad tiene muchos inconvenientes en comparación con el lista blanca . De hecho permite entrar sin ninguna restricción todo el tráfico no se recomienda, bloqueo involucrado sólo en el caso de un puerto o protocolo establecido explícitamente. Respecto a la saliente en la mayoría de los casos no se considera como riesgoso a todos autorizados, de hecho se supone que sabe el tráfico dejando su máquina o red. Sin embargo, se recomienda mantener un seguimiento de la seguridad saliente.

IPTables

IPTables es seguramente el más conocido firewall de software disponible para Debian.

Aquí están algunos comandos prácticos sobre :

Instalación de iptables

 sudo apt-get install iptables

Lista de las normas actualmente establecidas

 sudo iptables -L

Las normas establecidas de purga

sudo iptables -F
sudo iptables -X

Agregar una regla

# Autoriser les connexions entrantes sur le port ssh(22) tcp depuis l'adresse ip x.x.x.x par exemple
sudo iptables -A INPUT -p tcp --dport ssh -s x.x.x.x -j ACCEPT

Eliminar una regla

# Supprimer la règle n°2 de la catégorie OUTPUT
sudo iptables -D OUTPUT 2