Asegurar servidor Linux - ¿cómo proteger un servidor web frente a ataques de hackers?

Debido a la gran cantidad de proveedores en el mercado de hosting, los precios de los servidores Linux propios son más bajos que nunca. La idea de adquirir un servidor propio resulta muy tentadora. Pero hay que tener precaución, ya que como titular de un servidor usted es plenamente responsable de este y responde por las acciones que se originan desde el mismo. Los atacantes se fijan en servidores mal protegidos: esos equipos son infiltrados y utilizados con fines ajenos. A menudo se emplean para el envío de spam o para ejecutar ataques DDoS. Surgen problemas serios sobre todo cuando se distribuye material ilegal a través del servidor. En ese caso, el titular puede enfrentarse a consecuencias legales graves.

Para prevenir problemas causados por atacantes, conviene seguir ciertas reglas básicas en la configuración del servidor que dificultan la intrusión. A continuación le presentamos algunas de estas reglas:

1. Mantener el sistema actualizado

El sistema operativo, así como el software y los servicios utilizados (servidores web, servidores de correo, etc.) deben estar siempre actualizados. Hay que aplicar las actualizaciones de forma periódica, preferiblemente de forma automática cada día mediante una tarea cron. Especialmente tras una nueva instalación del sistema es necesario ejecutar las actualizaciones, ya que el software proporcionado por el proveedor de hosting no siempre está al día.

2. Configurar SSH

La mayoría de los atacantes intentan vulnerar el acceso root del servidor. Por ello, cree un nuevo usuario con su propio nombre para el acceso SSH y deshabilite completamente el acceso root en la configuración de SSH.

Otras posibilidades para aumentar la seguridad son:

• Cambiar manualmente el puerto SSH predeterminado por otro.
• Desactivar los inicios de sesión SSH mediante contraseña y permitir únicamente inicios de sesión con una clave válida (autenticación con clave pública).
• Uso de aplicaciones adicionales como fail2ban o denyhosts. Estos programas bloquean automáticamente las direcciones IP de los atacantes.

En este contexto conviene señalar que es sumamente importante usar siempre contraseñas seguras, compuestas por letras, números y caracteres especiales.

3. Asegurar puertos / Configurar el cortafuegos

El cortafuegos del sistema debe configurarse de modo que los puertos que no se necesiten queden bloqueados. Los puertos habituales que se utilizan son, por ejemplo, los de SSH, FTP, HTTP y HTTPS. Utilice el software nativo del sistema para configurar el cortafuegos o aplique las reglas directamente con iptables. Netstat le ayuda a ver qué puertos están abiertos y en uso.

Tenga cuidado de no bloquearse a sí mismo durante la configuración del cortafuegos.

4. Utilizar software de seguridad

Al igual que en el equipo doméstico, existen también para servidores varios tipos de software de seguridad como antivirus, herramientas anti-rootkit y escáneres de malware. Instálelos también en su servidor. Software de uso frecuente es, por ejemplo, ClamAV, chkrootkit, rkhunter y tripwire. Mantenga estos programas siempre actualizados y analice su sistema de forma regular. Lo ideal es automatizarlos diariamente mediante una tarea cron.

5. Configuración de servicios individuales del servidor

Todos los servicios del servidor deben mantenerse siempre actualizados; además, conviene optimizar las configuraciones por defecto. Los ajustes dependen del propósito de uso y del tipo de servicios desplegados. Aquí algunos ejemplos:

FTP

• Comprobar los ajustes de seguridad y, por ejemplo, no permitir el inicio de sesión a usuarios anónimos.
• Bloquear el puerto si el servicio no se utiliza.

PHP

• Limitar el acceso de lectura y escritura de PHP a directorios explícitamente permitidos.
• Desactivar los mensajes de error públicos, ya que revelan información del sistema innecesaria.

Servidor web

• Desactivar módulos no utilizados.

Tenga en cuenta que esta guía sirve únicamente como base y no pretende ser exhaustiva. Como propietario de un servidor, usted es el único responsable de su seguridad y, idealmente, debería dedicarse de forma continua e intensiva a la materia.

Infórmate también sobre cómo asegurar un servidor Windows.