Los servidores Linux corren más riesgo que nunca. Mientras que hace sólo unos años los usuarios de Linux podían considerarse como los «pocos afortunados» que no tenían que preocuparse por el malware y los virus informáticos, esta era ha llegado desgraciadamente a su fin.
Los atacantes ven ahora los servidores Linux como un objetivo viable que a menudo proporciona un valioso retorno de la inversión. Los últimos años han estado plagados de cepas emergentes de malware para Linux que han demostrado nuevas y peligrosas tácticas para propagarse, pasar desapercibidos y comprometer los servidores: Cloud Snooper, EvilGnome, HiddenWasp, QNAPCrypt, GonnaCry, FBOT y Tycoon son algunos de los ejemplos más notorios. Esto es lo que necesitas saber para asegurar tu sistema Linux contra el malware, los rootkits y otros ataques peligrosos.
¿Cómo de seguro es Linux?
Independientemente del aumento de los ataques dirigidos a los servidores Linux en los últimos años, Linux sigue ofreciendo notables ventajas de seguridad y privacidad frente a los sistemas operativos propietarios como Windows o MacOS. Gracias a la disponibilidad de su código abierto y a la revisión constante y exhaustiva a la que se somete este código por parte de una vibrante comunidad mundial de desarrolladores y expertos en seguridad, las vulnerabilidades se encuentran y se solucionan de forma muy rápida y fiable en comparación con el código cerrado de los sistemas operativos propietarios. Linux también restringe en gran medida el acceso a la raíz mediante un estricto modelo de privilegios de usuario y cuenta con una selección de defensas de seguridad integradas en el núcleo, como cortafuegos que utilizan filtros de paquetes en el núcleo, el mecanismo de verificación del firmware UEFI Secure Boot, la opción de configuración Linux Kernel Lockdown y los sistemas de mejora de la seguridad SELinux o AppArmor Mandatory Access Control (MAC). Sin embargo, a pesar de las ventajas inherentes a la seguridad que ofrece Linux, el sistema operativo sigue siendo vulnerable a los compromisos como resultado de frecuentes errores de configuración y servicios mal gestionados.
Aunque todas las distribuciones de Linux ofrecen ventajas de seguridad inherentes sobre Windows o MacOS, los pentesters, los investigadores de seguridad y los usuarios que simplemente buscan maximizar su seguridad, privacidad y anonimato en línea pueden conseguirlo eligiendo una distribución de Linux segura especializada.
Independientemente de la distro que elijas, hay ciertos comportamientos y mejores prácticas que todos los administradores de sistemas deberían llevar a cabo para asegurar su sistema contra el malware, los virus y otros exploits. Estos son nuestros principales consejos para optimizar la seguridad de su sistema Linux en este entorno de amenazas moderno y en constante evolución.
Concéntrese primero en los fundamentos
La mayoría de los problemas de seguridad que afectan a los sistemas Linux pueden atribuirse a una configuración errónea o a una mala administración del sistema, como el hecho de no estar al día con las actualizaciones de seguridad, y no son un reflejo de la seguridad del código fuente de Linux.
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y la Oficina Federal de Investigación (FBI) instan a los administradores de sistemas a dar prioridad a la aplicación de parches a las vulnerabilidades de seguridad conocidas, especialmente a las explotadas por los actores de amenazas extranjeras. Los ciberdelincuentes suelen empezar centrando sus esfuerzos en las vulnerabilidades conocidas, ya que la explotación de estos fallos requiere menos recursos en comparación con los exploits de día cero (para los que no hay parches disponibles) o la explotación de aplicaciones vulnerables. LinuxSecurity.com realiza un seguimiento de los últimos avisos de seguridad de las distribuciones de Linux (y tiene un canal RSS dedicado específicamente a los avisos), lo que le proporciona una forma fácil y cómoda de mantenerse informado de las últimas actualizaciones emitidas por su distribución.
Si quieres mejorar la seguridad de tu sistema, empieza por asegurarte de que está correctamente configurado y actualizado. Implementar los otros consejos y herramientas que sugerimos en este artículo hará muy poco para mantenerte seguro si estas mejores prácticas
Controle el acceso a su sistema con SELinux
a implementación de Security-Enhanced Linux – a menudo conocida como SELinux – es una gran manera de aumentar el control que tiene sobre el acceso a su sistema. SELinux es un sistema de control de acceso obligatorio (MAC) altamente detallado y bastante técnico que restringe el acceso más allá de lo que pueden lograr los métodos tradicionales de control de acceso discrecional (DAC), como los permisos de archivos o las listas de control de acceso (ACL). Por ejemplo, no hay razón para que un navegador web necesite acceder a una clave SSH, por lo que en SELinux esta información no se proporcionaría al navegador web.
Los controles de acceso estrictos son fundamentales para evitar que los actores maliciosos obtengan acceso administrativo a su sistema e instalen rootkits u otros tipos de malware. Por esta razón, SELinux ha sido adoptado por múltiples distribuciones populares de Linux, incluyendo Fedora, Ubuntu y Debian, y suele estar activado por defecto.
Dar prioridad a la seguridad de la red
Utilizar una VPN para cifrar los datos entre usted y su servidor es una excelente manera de proteger su privacidad y anonimato en línea. Al enmascarar su dirección de protocolo de Internet (IP), las VPN garantizan que su historial de navegación y otras acciones en línea sean prácticamente imposibles de rastrear. El uso de la VPN es crucial para mantenerse seguro en línea mientras se trabaja a distancia. Sin embargo, aumentar su privacidad en línea no es tan sencillo como implementar cualquier VPN: la VPN que seleccione es extremadamente importante. A la hora de elegir una VPN, los usuarios deben evaluar una serie de características como la velocidad, la seguridad, la facilidad de uso y la fiabilidad de la tecnología de cifrado utilizada, entre otros factores. Wireguard (en la foto de abajo) es nuestra mejor opción. Esta VPN gratuita y de código abierto, que se ejecuta como un módulo del kernel de Linux (LKM), pretende superar a sus competidores (concretamente a OpenVPN) en rendimiento y capacidad de ahorro de energía. Wireguard ofrece lo mejor de ambos mundos: es fácil de usar y muy eficaz. El uso que hace Wireguard de las versiones de los paquetes de criptografía permite a la VPN centrarse en los cifrados que se consideran entre los métodos actuales más seguros de cifrado.
Además de utilizar una VPN de calidad como Wireguard, los usuarios deberían revisar sus routers en busca de fallos de seguridad. Una investigación llevada a cabo por el Instituto Fraunhofer de Comunicaciones (FKIE) el año pasado ha revelado que el firmware presente en un gran número de routers domésticos populares -muchos de los cuales no han recibido ni una sola actualización del firmware de seguridad en toda su vida- es vulnerable a una amplia gama de problemas de seguridad graves. Su router podría ser el mayor agujero de seguridad de su red.
Instalar el Kernel Runtime Guard de Linux para detectar explotaciones de vulnerabilidad
Linux Kernel Runtime Guard (LKRG) es un módulo del kernel creado por Openwall que realiza una comprobación de la integridad en tiempo de ejecución del kernel de Linux para detectar explotaciones de vulnerabilidad de seguridad contra el kernel. LKRG intenta detectar a posteriori y responder rápidamente a las modificaciones no autorizadas del núcleo o a los cambios en las credenciales de los procesos del sistema en ejecución, protegiendo así contra los exploits que obtienen acceso root no autorizado a través de las vulnerabilidades del núcleo, los exploits que escapan, por ejemplo, de los contenedores Docker, los rootkits LKM y otras amenazas graves para la seguridad de un sistema Linux. El módulo es capaz de combatir la mayoría de los exploits de vulnerabilidad del kernel de Linux, tanto los preexistentes como los que se esperan para el futuro. LKRG proporciona seguridad a través de la diversidad – sin los inconvenientes de usabilidad asociados con la ejecución de un sistema operativo poco común.
LKRG es más útil en los sistemas que, en realidad, no van a ser reiniciados rápidamente con nuevos kernels, ni parcheados en vivo, cada vez que se descubre una nueva vulnerabilidad en el kernel. El fundador de OpenWall, Alexander Peslyak, explica: «LKRG ofrece una protección de mejor esfuerzo contra los exploits de vulnerabilidad del kernel con poco esfuerzo por parte del usuario – sin necesidad de configurar una política, etc. – lo que lo hace especialmente beneficioso para los sistemas que no se espera que se mantengan constantemente actualizados».
El módulo es compatible con una amplia gama de núcleos de distros populares, y puede instalarse fácilmente en distros como RHEL, CentOS, Debian, Ubuntu y Whonix.
Utilice Fail2ban para evitar los ataques de fuerza bruta
Los ataques de fuerza bruta son muy comunes en los servidores Linux. Estos ataques suelen tener éxito simplemente por la falta de medidas adecuadas de prevención de intrusiones. Fail2ban es una excelente aplicación de prevención de intrusiones diseñada para asegurar los servidores contra los ataques de fuerza bruta. Fail2ban supervisa los registros y reacciona a los intentos de intrusión instalando reglas de cortafuegos para rechazar las direcciones IP potencialmente maliciosas durante un tiempo determinado, o bloqueando el acceso a un puerto específico.
Descargue la extensión Privacy Badger para proteger su navegador contra los rastreadores
Privacy Badger es una extensión de navegador gratuita y de código abierto creada por la Electronic Frontier Foundation (EFF) que impide que los anunciantes y otros rastreadores de terceros rastreen en secreto las páginas web que visitas y tus acciones en línea. Privacy Badger adopta un enfoque equilibrado de la privacidad en Internet entre los anunciantes y los consumidores, bloqueando los anuncios y las cookies de seguimiento que infringen la cabecera Do Not Track en las solicitudes salientes, que la extensión añade automáticamente para que los usuarios no tengan que configurar cómodamente este ajuste en su navegador. Con Privacy Badger descargado en su sistema, si parece que un anunciante le está rastreando en varios sitios web sin su permiso, el complemento impide automáticamente que ese anunciante pueda cargar más contenido en su navegador. A los ojos del anunciante, usted ha desaparecido repentina y misteriosamente.
Privacy Badger puede instalarse en Google Chrome, Mozilla Firefox, Opera y Firefox para Android.
Generar un par de claves SSH para ayudar a proteger su privacidad y asegurar su servidor
Mientras que la utilización de contraseñas fuertes es un gran paso hacia el fortalecimiento de su privacidad y la seguridad de su servidor, la generación de un par de claves de shell seguro (SSH) es un método aún mejor y debe ser una de las primeras medidas implementadas al tomar un enfoque proactivo para la seguridad del servidor. Es importante tener en cuenta que la seguridad tiene que ver con las compensaciones, y la determinación de si confiar en las contraseñas o utilizar las claves SSH es un excelente ejemplo de esto. Mientras que las contraseñas son ciertamente más convenientes para la mayoría de los usuarios, también son a menudo bastante fáciles para los hackers maliciosos de adivinar o descifrar a través de la fuerza bruta – dejando datos sensibles y sistemas enteros vulnerables. Los pares de claves SSH no son tan fáciles de usar como las contraseñas, pero son mucho más seguros debido al cifrado que utilizan tanto el servidor al que se accede como el ordenador que se utiliza.
Un par de claves SSH consiste en dos claves criptográficamente seguras que pueden utilizarse para autenticar a un cliente en un servidor. Cada par se compone de una clave pública que puede ser conocida por otros y una clave privada que es retenida por el cliente y debe permanecer privada. Cuando un administrador genera un par de claves SSH para asegurar un servidor, la clave pública se carga en el servidor remoto al que quiere poder acceder con SSH. Cuando un cliente intenta autenticarse en el servidor, el servidor puede comprobar si el cliente posee la clave privada.
Para que un par de claves SSH y el servidor que protege permanezcan seguros, las claves SSH deben guardarse en un lugar seguro. Al determinar dónde guardar las claves, los administradores deben sopesar la probabilidad de un ataque físico frente a la probabilidad de un hackeo del servidor. En caso de duda, guarde las claves SSH en un dispositivo local guardado en una ubicación segura para mitigar la vulnerabilidad en caso de hackeo.
Realice auditorías de seguridad periódicas
La única forma de estar seguro de que su sistema está tan bien protegido como cree -o como necesita- es probar y verificar con frecuencia su seguridad. Llevar a cabo auditorías de seguridad con regularidad es una gran manera de identificar las brechas en sus defensas de seguridad y determinar cómo se pueden abordar para proteger mejor su servidor contra las vulnerabilidades y los ataques.
El sistema de auditoría de Linux (AuditD) es una característica nativa del núcleo de Linux que puede proporcionar a los administradores una valiosa información sobre la seguridad, la estabilidad y la funcionalidad de sus sistemas. Funciona a nivel del núcleo (donde puede supervisar todos los procesos del sistema) y recoge y registra información sobre la actividad del sistema para facilitar la investigación de posibles incidentes de seguridad. AuditD registra información de acuerdo con sus reglas de auditoría, así como con cualquier regla que se haya añadido.
Puntos clave
Aunque las amenazas a la seguridad y la privacidad de los sistemas Linux están en su punto álgido, los usuarios de Linux siguen estando más seguros en Internet que sus amigos usuarios de Windows y MacOS. Este sistema operativo de código abierto, cada vez más popular, ofrece ventajas de seguridad inherentes debido a la transparencia de su código fuente y a su base de usuarios relativamente pequeña, y existe una selección de distribuciones de Linux especializadas en privacidad y seguridad para los usuarios que deseen llevar su seguridad digital y su anonimato un paso más allá.
Independientemente de la distribución que elijan, todos los usuarios de Linux pueden mejorar su postura de seguridad si adoptan una buena higiene cibernética y ponen en práctica los consejos y las mejores prácticas que se ofrecen en este artículo. El fundador de LinuxSecurity, Dave Wreski, explica: «Con el drástico aumento de los ataques dirigidos a los sistemas Linux en los últimos años, ahora no es el momento de descuidar la seguridad y el mantenimiento del sistema. La mayoría de los ataques exitosos a los sistemas Linux no se pueden achacar al sistema operativo en su conjunto, sino que se pueden atribuir a servidores mal configurados y a una mala administración del sistema».