¿Cómo proteger y endurecer la máquina virtual en la nube (Ubuntu y CentOS)?

por

Proteger el sistema operativo es tan importante como su sitio web, sus aplicaciones web y su negocio en línea.

Es posible que esté gastando en un complemento de seguridad, WAF, seguridad basada en la nube para proteger su sitio (Capa 7), pero dejar el sistema operativo sin reforzar puede ser peligroso.

la tendencia es cambiando.

hosting-estadísticas

La web se está trasladando a la nube desde el alojamiento compartido para obtener múltiples ventajas.

  • Tiempo de respuesta más rápido ya que ningún otro usuario comparte los recursos
  • Control total en una pila de tecnología
  • Control total del sistema operativo.
  • Bajo costo

«Con un gran poder viene una gran responsabilidad»

Usted obtiene mayor control en el alojamiento de su sitio web en la VM en la nube, pero eso requiere un poco de habilidades de administrador del sistema para administrar su VM.

Eres Listo ¿para ello?

Nota: si no está dispuesto a invertir su tiempo en ello, entonces puede elegir Nubes que administran AWS, Google Cloud, Digital Ocean, Linode, Vultr y Kyup VM.

entremos en un guía práctica para asegurar Ubuntu y CentOS VM.

Contenidos ocultar
1 Cambiar el puerto predeterminado de SSH
2 Protección contra ataques de fuerza bruta
2.1 Guardia SSH
2.2 Fail2Ban
3 Deshabilitar la autenticación basada en contraseña
4 Protección contra ataques DDoS
5 Copia de seguridad periódica
6 Actualización periódica
7 No dejes puertos abiertos
7.1 Relacionado:

Cambiar el puerto predeterminado de SSH

De forma predeterminada, el demonio SSH escucha en número de puerto 22. Esto significa que si alguien encuentra su IP puede intentar conectarse a su servidor.

Es posible que no puedan ingresar al servidor si lo ha protegido con una contraseña compleja. Sin embargo, pueden lanzar ataques de fuerza bruta para perturbar el funcionamiento del servidor.

Lo mejor es cambiar el puerto SSH a otro, así aunque alguien conozca la IP, no puedo intentar conectarme utilizando el puerto SSH predeterminado.

Cambiar el puerto SSH en Ubuntu/CentOS es muy fácil.

  • Inicie sesión en su VM con el privilegio de root
  • Realice una copia de seguridad de sshd_config (/etc/ssh/sshd_config)
  • Abra el archivo usando el editor VI
vi /etc/ssh/sshd_config

Busque la línea que tiene Port 22 (normalmente al principio del archivo)

# What ports, IPs and protocols we listen for 
Port 22
  • Cambie 22 a algún otro número (asegúrese de recuerda ya que lo necesitará para conectarse). digamos 5000
Port 5000
  • Guarde el archivo y reinicie el demonio SSH
service sshd restart

Ahora, usted o cualquier otra persona no podrá conectarse a su servidor utilizando el puerto predeterminado SSH. En su lugar, puede usar el nuevo puerto para conectarse.

Si usa un cliente SSH o Terminal en MAC, puede usar -p para definir el puerto personalizado.

ssh -p 5000 [email protected]

Fácil¿no es así?

Protección contra ataques de fuerza bruta

Uno de los mecanismos comunes utilizados por un hacker tomar el control de su negocio en línea es iniciar ataques de fuerza bruta contra el servidor y la plataforma web como WordPress, Joomla, etc.

Esto puede ser peligroso si no se toma en serio. Existen dos Programas populares que puede usar para proteger Linux de la fuerza bruta.

Guardia SSH

Guardia SSH supervisa los servicios en ejecución desde los archivos de registro del sistema y bloquea los repetidos intentos de inicio de sesión incorrectos.

Inicialmente, estaba destinado a Protección de inicio de sesión SSHpero ahora es compatible con muchos otros.

  • FTP puro, FTP PRO, VS FTP, FreeBSD FTP
  • Exim
  • Enviar correo
  • Palomar
  • cucipop
  • UWimap

Puede instalar SSHGuard con los siguientes comandos.

Ubuntu:

apt-get install SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm 
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

Fail2Ban

Fail2Ban es otro programa popular para proteger SSH. Fail2Ban actualiza automáticamente la regla de iptables si un intento de inicio de sesión fallido alcanza el umbral definido.

Para instalar Fail2Ban en Ubuntu:

apt-get install fail2ban

y para instalar en CentOS:

yum install epel-release 
yum install fail2ban

SSH Guard y Fail2Ban deberían ser suficientes para proteger el inicio de sesión SSH. Sin embargo, si necesita explorar más, puede consultar lo siguiente.

Deshabilitar la autenticación basada en contraseña

Si inicia sesión en su servidor desde una o dos computadoras, entonces puede usar clave SSH autenticación basada.

Sin embargo, si tiene varios usuarios y, a menudo, inicia sesión desde varias computadoras públicas, puede ser problemático intercambiar la clave cada vez.

Entonces, según la situación, si opta por deshabilitar la autenticación basada en contraseña, puede hacerlo de la siguiente manera.

Nota: esto supone que ya ha configurado el intercambio de claves SSH.

  • Modificar /etc/ssh/sshd_config usando vi editor
  • Agregue la siguiente línea o descoméntelo si existe
PasswordAuthentication no

Protección contra ataques DDoS

DDoS (Distributed Denial of Service) puede ocurrir en cualquier capay esto es lo último que desea como propietario de un negocio.

Es posible encontrar la IP de origen y, como práctica recomendada, no debe exponer la IP de su servidor a la Internet pública. Hay varias formas de ocultar el «IP de origen” para evitar el DDoS en su servidor de nube/VPS.

Usar un balanceador de carga (LB) – implementar un equilibrador de carga orientado a Internet, de modo que la IP del servidor no esté expuesta a Internet. Hay muchos balanceadores de carga entre los que puede elegir: Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB, etc.

Equilibrador de carga-escenario

Utilice una CDN (red de entrega de contenido) – CDN es una de las mejores maneras de mejorar el rendimiento y la seguridad del sitio web.

Cuando implementa CDN, configura un registro DNS A con la dirección IP anycast proporcionada por el proveedor de CDN. Al hacer esto, está publicitando la IP del proveedor de CDN para su dominio y el origen no esta expuesto.

Hay muchos proveedores de CDN para acelerar el rendimiento del sitio web, protección DDoS, WAF y muchas otras funciones.

Así que elija el proveedor de CDN que brinde rendimiento y seguridad a la vez.

Modifique la configuración del Kernel y las iptables – puede aprovechar iptables para bloquear solicitudes sospechosas, no SYN, indicador TCP falso, subred privada y más.

Junto con iptables, también puede configurar los ajustes del kernel. Pipa Java lo ha explicado bien con las instrucciones para que no lo duplique aquí.

Usa un cortafuegos – Si puede permitirse un cortafuegos basado en hardware, excelente; de ​​lo contrario, es posible que desee utilizar un cortafuegos basado en software que aprovecha iptables para proteger la conexión de red entrante a la máquina virtual.

Hay muchos, pero uno de los más populares es UFW (Cortafuegos sin complicaciones) para ubuntu y CortafuegosD por CentOS.

Copia de seguridad periódica

¡La copia de seguridad es tu amiga! Cuando nada funciona, la copia de seguridad se rescate tú.

las cosas pueden ir equivocado, pero ¿qué sucede si no tiene la copia de seguridad necesaria para restaurar? La mayoría de los proveedores de la nube o VPS ofrecen copias de seguridad por un pequeño cargo adicional y uno siempre debe considerarlo.

Consulte con su proveedor de VPS cómo habilitar el servicio de copia de seguridad. Sé que Linode y SÍ cobran el 20 % del precio de las gotas por la copia de seguridad.

Si está en Google Compute Engine o AWS, programe una instantánea diaria.

Tener una copia de seguridad le permitirá rápidamente restaurar toda la máquina virtual, por lo que está de vuelta en el negocio. O con la ayuda de una instantánea, puede clonar la máquina virtual.

Actualización periódica

Mantener actualizado el sistema operativo de su máquina virtual es una de las tareas esenciales para garantizar que su servidor no esté expuesto a ningún últimas vulnerabilidades de seguridad.

En ubuntupuedes usar apt-get update para asegurarse de que los paquetes más recientes estén instalados.

En CentOS, puede usar yum update

No dejes puertos abiertos

En otras palabras, permita solo los puertos necesarios.

Mantener puertos abiertos no deseados como un atacante que invita a aprovechar. Si solo aloja su sitio web en su máquina virtual, lo más probable es que necesite el puerto 80 (HTTP) o el 443 (HTTPS).

si estas en AWSluego puede crear el grupo de seguridad para permitir solo los puertos requeridos y asociarlos con la máquina virtual.

Si está en Google Cloud, permita los puertos necesarios usando «reglas del cortafuegos.”

firewall-reglas-google-nube

Y si está utilizando VPS, aplique el conjunto de reglas básicas de iptables como se explica en Linodo guía.

Lo anterior debería ayudarlo a fortalecer y asegurar su servidor para mejor protección contra las amenazas en línea.

Alternativamentesi no está listo para administrar su VM, entonces puede preferir Nubes que gestionan múltiples plataformas en la nube. Y si está buscando específicamente un alojamiento premium de WordPress, entonces este.

Relacionado:

Como instalar el navegador Chromium en Ubuntu 20¿Cómo instalar el navegador Chromium en Ubuntu 20? Default Thumbnail¿Cómo configurar el registro privado de Docker en Ubuntu 18? Default ThumbnailComando no encontrado en CentOS/RHEL 7- CORREGIDO Soluciones VPN para proteger su red en la nube de Soluciones VPN para proteger su red en la nube de AWS Como convertirse en un practicante de la nube de AWS Cómo convertirse en un practicante de la nube de AWS en 2022: cursos y recursos Como funciona como contraatacar Krebs sobre la seguridad Cómo funciona, cómo contraatacar: Krebs sobre la seguridad

Deja un comentario