¿Cómo asegurar y fortalecer la VM de la nube (Ubuntu y CentOS)?

Asegurar el sistema operativo es tan importante como su sitio web, aplicaciones web, negocios en línea.


Es posible que esté gastando en complementos de seguridad, WAF, seguridad basada en la nube para proteger su sitio (Capa 7), pero dejar el sistema operativo sin protección puede ser peligroso.

La tendencia es cambiando.

La Web se está moviendo a la nube desde el alojamiento compartido para múltiples ventajas.

  • Tiempo de respuesta más rápido ya que los recursos no son compartidos por ningún otro usuario
  • Control total en una pila tecnológica
  • Control total del sistema operativo.
  • Bajo costo

“Con un gran poder viene una gran responsabilidad”

Usted obtiene mayor control en alojar su sitio web en VM en la nube, pero eso requiere un poco de habilidades de administrador del sistema para administrar su VM.

Es usted Listo para ello?

Nota: si no está dispuesto a invertir su tiempo en él, puede elegir Cloudways quienes administran AWS, Google Cloud, Digital Ocean, Linode, Vultr & Kyup VM.

Vamos a entrar en un guía práctica asegurar Ubuntu y CentOS VM.

Cambiar el puerto predeterminado de SSH

Por defecto, SSH daemon escucha en número de puerto 22. Esto significa que si alguien encuentra que su IP puede intentar conectarse a su servidor.

Es posible que no puedan ingresar al servidor si se ha protegido con una contraseña compleja. Sin embargo, pueden lanzar ataques de fuerza bruta para perturbar el funcionamiento del servidor.

Lo mejor es cambiar el puerto SSH a otro, así que si alguien conoce la IP, ellos no puedo intentar conectarme utilizando el puerto SSH predeterminado.

Cambiar el puerto SSH en Ubuntu / CentOS es muy fácil.

  • Inicie sesión en su máquina virtual con el privilegio de root
  • Realice una copia de seguridad de sshd_config (/ etc / ssh / sshd_config)
  • Abra el archivo usando el editor VI

vi / etc / ssh / sshd_config

Busque la línea que tiene el puerto 22 (generalmente al principio del archivo)

# Qué puertos, IP y protocolos escuchamos
Puerto 22

  • Cambie 22 a otro número (asegúrese de recuerda ya que lo necesitará para conectarse). Digamos 5000

Puerto 5000

  • Guarde el archivo y reinicie el demonio SSH

servicio sshd reiniciar

Ahora, usted o cualquiera no podrá conectarse a su servidor utilizando el puerto predeterminado SSH. En cambio, puede usar el nuevo puerto para conectarse.

Si usa el cliente SSH o Terminal en MAC, puede usar -p para definir el puerto personalizado.

ssh -p 5000 [correo electrónico protegido]

Fácil, no es?

Protección contra ataques de fuerza bruta

Uno de los mecanismos comunes utilizados por un hacker tomar el control de su negocio en línea es iniciando ataques de fuerza bruta contra el servidor y la plataforma web como WordPress, Joomla, etc..

Esto puede ser peligroso Si no se toma en serio. Existen dos programas populares que puedes usar para proteger Linux de la fuerza bruta.

SSH Guard

SSHGuard supervisa los servicios en ejecución desde los archivos de registro del sistema y bloquea repetidos intentos de inicio de sesión incorrectos.

Inicialmente, estaba destinado a Protección de inicio de sesión SSH, pero ahora es compatible con muchos otros.

  • FTP puro, PRO FTP, VS FTP, FreeBSD FTP
  • Exim
  • Enviar correo
  • Palomar
  • Cucipop
  • UWimap

Puede instalar SSHGuard con los siguientes comandos.

Ubuntu:

apt-get install SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

Fail2Ban

Fail2Ban es otro programa popular para proteger SSH. Fail2Ban actualiza automáticamente la regla de iptables si un intento de inicio de sesión fallido alcanza el umbral definido.

Para instalar Fail2Ban en Ubuntu:

apt-get install fail2ban

e instalar en CentOS:

yum instalar epel-release
yum install fail2ban

SSH Guard y Fail2Ban deberían ser suficientes para proteger el inicio de sesión SSH. Sin embargo, si necesita explorar más, puede consultar lo siguiente.

Deshabilitar autenticación basada en contraseña

Si inicia sesión en su servidor desde una o dos computadoras, puede usar Clave SSH autenticación basada.

Sin embargo, si tiene varios usuarios y, a menudo, inicia sesión desde varias computadoras públicas, puede ser problemático intercambiar claves cada vez.

Entonces, según la situación, si opta por deshabilitar la autenticación basada en contraseña, puede hacerlo de la siguiente manera.

Nota: esto supone que ya ha configurado el intercambio de claves SSH.

  • Modifique / etc / ssh / sshd_config usando vi editor
  • Agregue la siguiente línea o descomente si existe

Contraseña Autenticación no

  • Recargar el Demonio SSH

Protección contra ataques DDoS

DDoS (Denegación de servicio distribuida) puede suceder en cualquier capa, y esto es lo último que quieres como dueño de un negocio.

Es posible encontrar la IP de origen y, como práctica recomendada, no debe exponer la IP de su servidor a Internet público. Hay varias formas de ocultar el “IP de origen“Para evitar el DDoS en su servidor de nube / VPS.

Use un equilibrador de carga (LB) – Implemente un equilibrador de carga orientado a Internet, para que la IP del servidor no esté expuesta a Internet. Puede elegir entre muchos equilibradores de carga: Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB, etc..

Use una CDN (red de entrega de contenido) – CDN es una de las mejores maneras de mejorar el rendimiento y la seguridad del sitio web.

Cuando implementa CDN, configura el registro DNS A con la dirección IP anycast proporcionada por el proveedor de CDN. Al hacer esto, anuncia la IP del proveedor de CDN para su dominio y origen no está expuesto.

Hay muchos proveedores de CDN para acelerar el rendimiento del sitio web, la protección DDoS, WAF & muchas otras características.

  • Flama de nube
  • StackPath
  • SUCURI
  • KeyCDN

Así que elija el proveedor de CDN que el rendimiento del proveedor & seguridad tanto.

Ajustar la configuración del kernel & iptables – puede aprovechar iptables para bloquear solicitudes sospechosas, no SYN, bandera TCP falsa, subred privada y más.

Junto con iptables, también puede configurar los ajustes del kernel. Javapipe lo ha explicado bien con las instrucciones para que no lo duplique aquí.

Use un cortafuegos – Si tiene un cortafuegos basado en hardware, entonces excelente, de lo contrario es posible que desee utilizar un cortafuegos basado en software que aprovecha iptables para proteger la conexión de red entrante a la VM.

Hay muchos, pero uno de los más populares es UFW (Cortafuegos sin complicaciones) para Ubuntu y CortafuegosD para CentOS.

Copia de seguridad regular

¡Backup es tu amigo! Cuando nada funciona, entonces la copia de seguridad rescate tú.

Las cosas pueden ir incorrecto, pero ¿qué pasa si no tiene la copia de seguridad necesaria para restaurar? La mayoría de los proveedores de nube o VPS ofrecen copias de seguridad con un pequeño cargo adicional y siempre se debe considerar.

Consulte con su proveedor de VPS cómo habilitar el servicio de respaldo. Sé que Linode y DO cobran el 20% del precio de gota para la copia de seguridad.

Si está en Google Compute Engine o AWS, programe una instantánea diaria.

Tener una copia de seguridad le permitirá rápidamente restaurar toda la VM, entonces estás de vuelta en el negocio. O con la ayuda de una instantánea, puede clonar la VM.

Actualización regular

Mantener su sistema operativo VM actualizado es una de las tareas esenciales para garantizar que su servidor no esté expuesto a últimas vulnerabilidades de seguridad.

En Ubuntu, puede usar apt-get update para asegurarse de que se instalen los paquetes más recientes.

En CentOS, puede usar yum update

No dejes puertos abiertos

En otras palabras, permita solo los puertos necesarios.

Mantener puertos abiertos no deseados como un atacante atractivo para aprovechar. Si solo está alojando su sitio web en su VM, lo más probable es que necesite el puerto 80 (HTTP) o 443 (HTTPS).

Si estas en AWS, entonces puede crear el grupo de seguridad para permitir solo los puertos necesarios y asociarlos con la VM.

Si está en Google Cloud, permita los puertos necesarios con “reglas de firewall.”

Y si está utilizando VPS, aplique el conjunto de reglas básicas de iptables como se explica en Guía de Linode.

Lo anterior debería ayudarlo a fortalecer y proteger su servidor para mejor protección contra amenazas en línea.

Alternativamente, Si no está listo para administrar su VM, entonces puede preferir Cloudways quienes administran múltiples plataformas en la nube. Y si está buscando específicamente alojamiento premium de WordPress, entonces este.

TAGS:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map