Buenas prácticas de seguridad para tu distro GNU/Linux

Seguridad : candado sobre circuito

Si te preocupa la seguridad en tu sistema operativo, estas son algunas buenas prácticas y consejos que puedes desarrollar en tu distro GNU/Linux favorita para estar un poco más seguro. Ya sabes que por defecto, los sistemas *nix son más seguros que Microsoft Windows, pero no son infalibles. Nada es seguro al 100%. Pero con esa seguridad extra y con la ayuda de estas recomendaciones, estarás un poco más tranquilo en cuanto a posibles ataques.

Además, son consejos muy sencillos que no resultan complicados para la mayoría de usuarios, pero por dejadez o pereza muchos descuidan. Ya sabes que pasar un rato configurando adecuadamente tu sistema y demás programas te puede ahorrar sustos. Si quieres saber cuáles son esas cosas que podrías hacer para blindar tu sistema, aquí tienes nuestras recomendaciones…

Los 10 mandamientos de la seguridad:

  1. Siempre descarga software desde fuentes fiables. Y eso también implica la imagen de tu distro, los controladores y apps. Por ejemplo, si descargas aplicaciones, intenta usar el centro de software de tu distro, los repositorios oficiales, o en su defecto, la web oficial del proyecto, pero nunca webs de terceros. Eso no garantiza nada, podrían haber atacado al servidor oficial y cambiado el binario o las fuentes, pero al menos eso es más complicado. Si intentas descargar controladores, puedes hacerlo desde GitHub si son de código abierto, o desde la web oficial del dispositivo de hardware si son propietarios. Y para videojuegos ídem, por ejemplo, desde Steam de Valve. Eso te evitará descargar software con posibles códigos maliciosos. Recuerda que si usas Wine, las vulnerabilidades de esos programas de Windows también podrían afectarte…
  2. Desactiva el usuario root cuando sea posible. Usa siempre sudo.
  3. Nunca uses X Windows o navegadores como root. Tampoco otros programas de los que no tienes confianza plena.
  4. Usa una contraseña robusta. Eso es tener al menos 8 caracteres como mínimo. No debe estar compuesta por ninguna palabra conocida, ni fechas de nacimiento, etc. Lo ideal es usar una combinación de letras minúsculas, mayúsculas, números y símbolos. Por ejemplo: aWrT-z_M44d0$
  5. No uses esa misma contraseña para todo, es decir, evita las contraseñas maestras. Ya que si la consiguen averiguar, podrán tener acceso a todo. Mientras que si parcelas (fencing), pueden entrar a un sistema, pero no a todos los servicios.
  6. Desinstala todo el software que no vayas a usar. Haz lo mismo con los servicios, debes desactivar todos aquellos servicios que no consideras necesarios en tu caso. Cierra puertos que no uses.
  7. Si crees que has sido víctima de un ataque o que tienen tu contraseña, estaría bien cambiar tus contraseñas. Si es posible la verificación en dos pasos en tus sistemas, hazlo.
  8. Mantén el sistema siempre actualizado. Los nuevos parches tapan algunas vulnerabilidades conocidas. Eso evitará que sean aprovechadas.
  9. No des detalles excesivos cuando te registres a servicios online. Es mejor que uses fechas o nombres falsos si no es estrictamente necesario usar los verdaderos. Tampoco exhibas detalles técnicos o de tu sistema en foros públicos.
  10. Si te llegan mensajes de correo con adjuntos raros, con extensiones tipo .pdf.iso, etc, no descargues nada. Evita también navegar por webs raras o descargar programas que aparezcan en ellas. Ignora también posibles mensajes SMS o de cualquier otro tipo pidiendo reactivar un servicio, o ceder la contraseña de algún servicio. Podrían ser prácticas de phishing.

Por otro lado, también te aconsejo algo más:

 

Política Para usuario normal
Para un servidor
Deshabilita el protocolo SSH Si, si no lo vas a usar. En cualquier caso, deshabilita el acceso como root, pon una contraseña segura, y cambia el puerto por defecto. No, por lo general hará falta para la administración remota. Pero puedes asegurarlo con una buena configuración.
Configura iptables Deberías tener al menos algunas reglas básicas definidas. Es imprescindible tener un complejo sistema de reglas para proteger al servidor.
IDS No es necesario. Sí deberías tener sistemas de protección auxiliares como un IDS, etc.
Seguridad física / arranque No es imprescindible, pero no estaría de más que pongas una contraseña a tu BIOS/UEFI y a tu GRUB. Es imprescindible restringir el acceso mediante protección física.
Cifrado de datos No es imprescindible, pero sí muy recomendable cifrar tu disco. Dependerá de cada caso. En algunos sí debería hacerse, en otros no. O tal vez solo en algunas particiones. Dependerá del tipo de servidor.
VPN Sería recomendable usar una VPN configurada para tu router y así todos los dispositivos que conectes estarán asegurados. O por lo menos, hazlo en el que más usas. No, por la naturaleza de servidor, no debe estar tras una VPN.
Habilita SELinux o AppArmor Sí, deberías configurarlo. Sí, es imprescindible.
Vigila los permisos, atributos, y lleva una buena política de administración. Recomendable. Imprescindible.

 


4 comentarios, deja el tuyo

  1.   mlpbcn dijo

    El articulo esta muy bien, pero ahora tenéis que hacer uno explicando claramente como se hacen todos los consejos que dais, porque por ejemplo yo muchos no se como se hacen y eso que llevo unos 10 años en linux. Y considero que lo que expone este articulo es sumamente importante y que no solo debeis decir lo que hay que hacer, sino explicar como se hace.

  2.   Daniel dijo

    Muy buen artículo, un video demostrativo sería muy bueno y ayudaría a todos los usuarios de GNU/Linux tanto novatos como avanzados. Saludos.

  3.   Aradnix dijo

    Están buenos los consejos en general, pero hubo una vulnerabilidad reciente con sudo, que además de las críticas, es un detalle que no debe pasar desapercibiod porque todavía muchas distros no lo han corregido, no está en todos lados el parche para sudo.

    Lo otro es que hay varios consejos que contradicen lo dicho en el segundo párrafo pues no son triviales ni simples, por ejemplo ¿cuales son las reglas mínimas que un usuario mortal, común y corriente debería configurar? o ¿qué es un IDS, viene por defecto, cómo se desactiva?, para quienes estén interesados, ¿cómo se habilita la seguridad física en el arranque?, ¿cómo e configura una VPN pra el router, qué servicio de VPN es recomendable y que no recopile mis datos y respete de verdad mi privacidad?, esa no es una pregunta fácil de responder.

    SElinux en Fedora hace años eran un dolor de bolas y configurarlo no era sencillo, nuevamente hay que explicar cómo hacerlo y/o con App Armor igual. Por último ¿cómo se lleva una buena política de administración? tomando en cuenta que muchos usuarios distan mucho de un perfil de sysadmin que puede tener una idea más clara de este tema.

    Yo espero que este artículo sea la punta del iceberg de varios otros sobre seguridad donde se ahonde en estas recomendación que si bien prcen acertadas no son ni claras ni sencillas para una gran cantidad de usuarios.

  4.   Fernando dijo

    Hola, coincido con los demás un poco de explicación sobre algunos de los temas tratados no vendría mal. Pero a lo mejor estamos estropeando la sorpresa jejejejeeje. Un saludo y buen artículo.

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.