¿Cuáles son las prácticas recomendadas para proteger el servidor Linux que se ejecuta en Lightsail?

Actualización más reciente: 28-10-2021

Trabajo como administrador de sistemas para instancias de Amazon Lightsail con Linux. ¿Cuáles son algunas de las prácticas recomendadas de seguridad del servidor que se pueden utilizar para contribuir a la protección de los datos?

Resolución

Las siguientes son las prácticas recomendadas básicas de seguridad para servidores Linux. Aunque estas son consideraciones importantes para la seguridad del servidor Linux, tenga en cuenta que esta no es una lista completa. Hay varias configuraciones complejas que el equipo de administración del sistema local debe ajustar y abordar en función de los requisitos específicos y el caso de uso.

  • Cifre la comunicación de datos entrantes y salientes del servidor Linux.
    Utilice SCP, SSH, rsync o SFTP para la transferencia de archivos. Evite utilizar servicios como FTP, Telnet, etc., ya que no son seguros. Para mantener una conexión segura (HTTPS), instale y configure un certificado SSL en el servidor.
  • Minimice el software para reducir al mínimo la vulnerabilidad en Linux y realice auditorías de seguridad de forma regular.
    No instale software innecesario. Así evitará la introducción de vulnerabilidades de software o paquetes. Si es posible, identifique y retire todos los paquetes no deseados.
  • Mantenga el kernel y el software de Linux actualizados.
    La aplicación de parches de seguridad es una parte importante del mantenimiento del servidor Linux. Linux proporciona todas las herramientas necesarias para mantener el sistema actualizado. Linux también permite realizar actualizaciones sencillas entre versiones. Revise y aplique todas las actualizaciones de seguridad lo antes posible y asegúrese de actualizar al último kernel disponible. Utilice los respectivos administradores de paquetes en función de las distribuciones de Linux, como yum, apt-get o dpkg, para aplicar todas las actualizaciones de seguridad.
  • Utilice extensiones de seguridad de Linux.
    Linux incluye varias características de seguridad que se pueden utilizar para obtener protección ante programas mal configurados o en peligro. Si es posible, utilice SELinux y otras extensiones de seguridad de Linux para imponer limitaciones a la red y a otros programas. Por ejemplo, SELinux proporciona una variedad de políticas de seguridad para el kernel de Linux.
  • Desactivar el inicio de sesión de raíz.
    Es una práctica recomendada no iniciar la sesión como usuario raíz. Debe utilizar sudo para ejecutar comandos de nivel de raíz cuando sea necesario. Sudo mejora en gran medida la seguridad del sistema sin compartir las credenciales con otros usuarios y administradores.
  • Encuentre los puertos de red de escucha mediante SS o netstat y cierre o restrinja todos los demás puertos.
    Es importante prestar atención a los puertos que escuchan en las interfaces de red del sistema. Esto se puede hacer a través dess o netstat. Cualquier puerto abierto podría indicar una intrusión.
  • Configure tanto el firewall Lightsail como los firewalls a nivel de sistema operativo en los servidores Linux para obtener un nivel adicional de seguridad.
    Utilice el firewall de Lightsail para filtrar el tráfico y permitir solo el tráfico necesario al servidor. El firewall a nivel de sistema operativo es un programa de aplicación de espacio de usuario que permite configurar los firewalls proporcionados por el kernel de Linux. Puede utilizar iptables, ufw, firewalld, etc., en función de la distribución de Linux.
  • Utilice auditd para la contabilidad del sistema.
    Linux proporciona auditd para la auditoría del sistema. Auditd escribe registros de auditoría en el disco. También monitorea diversas actividades del sistema, como inicios de sesión del sistema, autenticaciones, modificaciones de cuentas y denegaciones de SELinux. Estos registros ayudan a los administradores a identificar actividades maliciosas o accesos no autorizados.
  • Instale un sistema de detección de intrusos (IDS).
    Utilice fail2ban o denyhost como IDS. Fail2ban y denyhost analizan los archivos de registro en busca de demasiados intentos fallidos de inicio de sesión y bloquean la dirección IP que muestra signos de actividad maliciosa.
  • Cree copias de seguridad de forma periódica.
    Para obtener más información, consulte Instantáneas en Amazon Lightsail.
  • Evite proporcionar permisos de lectura, escritura y ejecución (777) para archivos y directorios a usuarios, grupos y otros.
    Puede usar chmod para restringir el acceso a archivos y directorios, como el directorio web-root, document-root, etc. Edite los permisos para proporcionar acceso únicamente a los usuarios autorizados.