En este artículo, presentaremos una lista de características útiles de seguridad de Linux que todo administrador de sistemas debería conocer. También compartimos algunas herramientas útiles para ayudar a un administrador de sistemas a garantizar la seguridad en sus servidores Linux.
La lista es la siguiente y no está organizada en ningún orden en particular.
Tabla de Contenidos
1. Gestión de grupos y usuarios de Linux
La administración de usuarios y grupos de Linux es un aspecto básico pero muy vital de la administración del sistema. Tenga en cuenta que un usuario puede ser una persona o una entidad de software, como el propietario de archivos y procesos de un servidor web.
La definición correcta de administración de usuarios (que puede incluir los detalles de la cuenta de un usuario, los grupos a los que pertenece un usuario, a qué partes de un sistema puede acceder un usuario, qué programas puede ejecutar, hacer cumplir las políticas de contraseña de organización de contraseñas, etc.) puede ayudar a un administrador del sistema en garantizar el acceso seguro al sistema y la operación de los usuarios dentro de un sistema Linux.
2. PAM de Linux
PAM (Módulos de autenticación conectables) es un conjunto de bibliotecas potente y flexible para la autenticación de usuarios en todo el sistema. Cada biblioteca de funciones que se incluye con PAM puede ser utilizada por una aplicación para solicitar la autenticación de un usuario.
Esto permite que un administrador del sistema Linux defina cómo las aplicaciones autentican a los usuarios. Sin embargo, es poderoso y muy difícil de entender, aprender y usar.
3. Cortafuegos basado en servidor/host
Linux se envía con el filtro de red subsistema que ofrece funcionalidades de filtrado de paquetes, todo tipo de direcciones de red y traducción de puertos, múltiples capas de API para extensiones de terceros y más.
Todas las soluciones modernas de cortafuegos de Linux, como UFW (cortafuegos sin complicaciones), cortafuegos, nftables (el sucesor de iptables), y más, use este subsistema para el filtrado de paquetes para ayudar a regular, proteger y bloquear el tráfico de red que entra o sale de un sistema Linux.
4. Linux SELinux
Un proyecto desarrollado originalmente por la Agencia de Seguridad Nacional de los Estados Unidos (NSA), Secure Enhanced Linux (o SELinux en resumen) es una función de seguridad avanzada de Linux.
Es una arquitectura de seguridad integrada en el kernel de Linux utilizando el Módulos de seguridad de Linux (LSM). Complementa el control de acceso discrecional de Linux tradicional (CAD) modelo proporcionando control de acceso obligatorio (MAC).
Define los derechos de acceso y transición de cada usuario, aplicación, proceso y archivo en el sistema; gobierna las interacciones de estas entidades utilizando una política de seguridad que especifica cuán estricta o indulgente debe ser una instalación de sistema Linux dada.
SELinux viene preinstalado en la mayoría, si no en todas, las distribuciones basadas en RHEL, como Fedora, CentOS-stream, Rocky Linux, AlmaLinux, etc.
5. App Armor
Similar a SELinuxAppArmor también es un Control de Acceso Obligatorio (MAC) módulo de seguridad que proporciona un sistema de seguridad de aplicaciones Linux efectivo y fácil de usar. Muchas distribuciones de Linux como Debian, Ubuntu y openSUSE vienen con AppArmor instalado.
La gran diferencia entre AppArmor y SELinux es que se basa en la ruta, permite la combinación de perfiles de modo de aplicación y denuncia. También emplea “incluir archivos” para facilitar el desarrollo, además tiene una barrera de entrada mucho más baja.
6. Fail2ban
Fail2ban es una herramienta de seguridad de servidor ampliamente utilizada que escanea los archivos de registro en busca de direcciones IP que muestren actividad maliciosa, como intentos de inicio de sesión fallidos continuos y más, y actualiza las reglas del firewall para prohibir dicha dirección IP durante un tiempo específico.
7. Cortafuegos de aplicaciones web ModSecurity (WAF)
Desarrollado por SpiderLabs de Trustwave, ModSeguridad es un motor WAF gratuito y de código abierto, potente y multiplataforma. Funciona con servidores web Apache, NGINX e IIS. Puede ayudar a los administradores de sistemas y desarrolladores de aplicaciones web al proporcionar la seguridad adecuada contra una variedad de ataques, por ejemplo, inyecciones de SQL. Admite filtrado y monitoreo de tráfico HTTP, registro y análisis en tiempo real.
Para obtener más información, consulte:
8. Registros de seguridad
Los registros de seguridad ayudan a realizar un seguimiento de los eventos específicamente relacionados con la seguridad de toda su infraestructura de TI o un solo sistema Linux. Estos eventos incluyen intentos exitosos y fallidos de acceder a un servidor, aplicaciones y más, activación de un IDS, activación de alertas y mucho más.
Como administrador del sistema, debe identificar herramientas de administración de registros efectivas y eficientes y mantener las mejores prácticas de administración de registros de seguridad.
9. AbrirSSH
OpenSSH es la herramienta de conectividad líder para el inicio de sesión remoto con el protocolo de red SSH. Permite la comunicación segura entre ordenadores cifrando el tráfico entre ellos, desterrando así las actividades maliciosas de los ciberdelincuentes.
Aquí hay algunas guías útiles para ayudarlo a proteger su servidor OpenSSH:
10. Abrir SSL
OpenSSL es una popular biblioteca de criptografía de propósito general, que está disponible como una herramienta de línea de comandos que implementa el Capa de sockets seguros (SSL v2/v3) y Transport Layer Security (TLS v1) protocolos de red y estándares criptográficos relacionados requeridos por ellos.
Se usa comúnmente para generar claves privadas, crear CSR (Solicitudes de firma de certificado), instalar su certificado SSL/TLS, ver información del certificado y mucho más.
11. Sistema de detección de intrusos (IDS)
Un DNI es un dispositivo o software de monitoreo que detecta actividades sospechosas o infracciones de políticas y genera alertas cuando se detectan en base a estas alertas, como administrador del sistema o analista de seguridad, o cualquier miembro del personal involucrado, puede investigar el problema y tomar las medidas adecuadas para corregirlo. la amenaza.
Existen principalmente dos tipos de IDS: IDS basado en host que se implementa para monitorear un solo sistema e IDS basado en red que se implementa para monitorear una red completa.
Existen numerosos IDS basados en software para Linux, como Tripwire, Tiger, AIDE y otros.
12. Herramientas de monitoreo de Linux
Para garantizar la disponibilidad de los diversos sistemas, servicios y aplicaciones dentro de la infraestructura de TI de su organización, debe vigilar estas entidades en tiempo real.
Y la mejor manera de lograr esto es a través de las herramientas de monitoreo de Linux, sobre todo aquellas que tienen capacidades de detección de problemas, informes y generación de alertas, como Nagios, Zabbix, Icinga 2 y más.
13. Herramientas VPN de Linux
A vpn (corto para Red privada virtual) es un mecanismo para cifrar su tráfico en redes no seguras como Internet. Proporciona una conexión a Internet segura a la red de su organización a través de Internet pública.
Consulte esta guía para configurar rápidamente una VPN en la nube: Cómo crear su propio servidor IPsec VPN en Linux
14. Herramientas de copia de seguridad y restauración del sistema y los datos
La copia de seguridad de los datos garantiza que su organización no pierda datos críticos en caso de eventos no planificados. Las herramientas de recuperación lo ayudan a restaurar datos o sistemas a un punto anterior en el tiempo para ayudar a su organización a recuperarse de un desastre de cualquier magnitud.
Aquí hay algunos artículos útiles sobre las herramientas de copia de seguridad de Linux:
15. Herramientas de cifrado de datos de Linux
Cifrado es una técnica de seguridad de primer nivel en la protección de datos que garantiza que solo las partes autorizadas tengan acceso a la información almacenada o en tránsito. Encontrará una multitud de herramientas de cifrado de datos para sistemas Linux que puede aprovechar para la seguridad.
16. Lynis: herramienta de auditoría de seguridad
Lynis es una herramienta gratuita, de código abierto, flexible y popular de auditoría de seguridad del host y exploración y evaluación de vulnerabilidades. Se ejecuta en sistemas Linux y otros sistemas operativos similares a Unix, como Mac OS X.
17. Nmap – Escáner de red
Nmap (abreviatura de Mapeador de red) es una herramienta de seguridad ampliamente utilizada, gratuita, de código abierto y rica en funciones para la exploración de redes o la auditoría de seguridad. Es multiplataforma, por lo que se ejecuta en Linux, Windows y Mac OS X.
18. Tiburón alambre
Wireshark es un analizador de paquetes de red potente y con todas las funciones, que permite la captura en vivo de paquetes que se pueden guardar para un análisis posterior/sin conexión.
También es multiplataforma y se ejecuta en sistemas similares a Unix, como los sistemas operativos basados en Linux, Mac OSX y también Windows.
19. Nikto
Nikto es un potente escáner web de código abierto que escanea un sitio web/aplicación, un host virtual y un servidor web en busca de vulnerabilidades conocidas y errores de configuración.
Intenta identificar los servidores web y el software instalados antes de realizar cualquier prueba.
20. Actualización de Linux
Por último, pero no menos importante, como administrador del sistema, debe realizar actualizaciones periódicas de software directamente desde el sistema operativo hasta los paquetes y aplicaciones instalados, para asegurarse de que cuenta con las últimas correcciones de seguridad.
$ sudo apt update [On Debian, Ubuntu and Mint] $ sudo yum update [On RHEL/CentOS/Fedora and Rocky Linux/AlmaLinux] $ sudo emerge --sync [On Gentoo Linux] sudo pacman -Syu [On Arch Linux] $ sudo zypper update [On OpenSUSE]
Eso es todo lo que teníamos para ti. Esta lista es más corta de lo que debería ser. Si lo cree, comparta con nosotros más herramientas que merecen ser conocidas por nuestros lectores a través del formulario de comentarios a continuación.
