Los servidores dedicados no cuentan por origen con algún protocolo de seguridad. Por esta razón, el usuario debe implementar las medidas necesarias para brindarle la mayor seguridad a un servidor dedicado.
En este artículo que traemos hoy en Ayuda Hosting, estaremos hablando de cómo proteger un servidor dedicado en OVH.
Índice
- 1 Cómo hacerlo
- 2 Modificar el puerto de escucha del servicio SSH por defecto
- 3 Cambiar contraseña del usuario root
- 4 Generar un usuario con permisos restringidos
- 5 Desactivar el acceso al servidor por medio del usuario root
- 6 Instalación y configuración del paquete Fail2ban
- 7 Configuración del firewall interno
- 8 Configurar el firewall de red en OVH
- 9 Almacenar copia de seguridad del sistema y los datos
Cómo hacerlo
Los desarrolladores ofrecen actualizaciones frecuentes sobre los paquetes, y una de las principales razones para hacerlo es la seguridad. Por lo tanto, la actualización del sistema operativo siempre debe ser un aspecto fundamental que se debe cuidar cuando se trata de un servidor dedicado.
Este proceso que mostraremos a continuación, consta de dos pasos únicamente: El primero, es la actualización de la lista de paquetes, y el segundo, es la actualización de los propios paquetes.
Actualización de la lista de paquetes
Para ello deberás ejecutar lo siguiente en la lista de paquetes de tu servidor:
apt-get update
Actualización de los paquetes
Ahora debes ejecutar el siguiente comando para actualizar los paquetes que corresponden al servidor:
apt-get upgrade
Cuando realices estas dos opciones, el sistema estará completamente actualizado. Si quieres proteger tu sistema de forma regular, debes realizar estas acciones de forma periódica.
Modificar el puerto de escucha del servicio SSH por defecto
Otra de las principales opciones que debes hacer en un servidor dedicado es la configuración del servicio SSH haciendo cambios en el puerto de escucha. Por defecto, encontrarás que es el puerto 22. Lo más recomendable es cambiarlo, debido a que en la mayor parte de los casos de hackeo de los servidores, son hechos por robots que van directamente al puerto 22. Cuando se modifica esta configuración, será mucho más difícil llegar al servidor.
Ahora tienes que ejecutar el código en el archivo de configuración del servicio:
nano /etc/ssh/sshd_config
Al comienzo del archivo conseguirás las lineas que mostramos a continuación:
# What ports, IPs and protocols we listen for Port 22
Tienes que sustituir el 22 por el puerto que quieres establecer. Luego tienes que guardar los cambios y cerrar la configuración. Debes estar seguro de no colocar un número de puerto que ya se encuentre en uso. Para continuar debes reiniciar el servidor.
Desde ese momento, cuando desees conectar a la maquina por medio de SSH, tienes que colocar el número del puerto:
Cambiar contraseña del usuario root
Cuando se instala un sistema operativo, se genera de forma automática una contraseña para acceder al root. Es necesario que personalices esta contraseña. Para hacer esto, debes conectarte por SSH al servidor y colocar el siguiente código:
passwd root
El sistema te estará pidiendo que ingreses la nueva contraseña dos veces para hacer su confirmación. Toma en cuenta que debido a motivos de seguridad, el password no se mostrará al momento de escribirla y por esa razón no podrás ver los datos que colocas.
Cuando vuelvas a conectarte al sistema, tendrás que colocar la nueva contraseña.
Generar un usuario con permisos restringidos
Una de nuestras recomendaciones es crear una cuenta de usuario con acceso restringido al servidor para utilizarla todos los días. Para generar un nuevo usuario debes introducir el siguiente código:
adduser Nombre_Usuario_Personalizado
Luego tienes que colocar la información que te pide el sistema como el nombre completo y la contraseña.
Al tener este nuevo usuario podrás conectarte por medio de SSH junto con la contraseña que colocaste para tu cuenta. Si cuando estés conectado al sistema con el nuevo usuario, necesitas llevar a cabo ciertas operaciones que pidan permiso de administrador, solo tienes que colocar el siguiente código:
su root
Luego debes colocar la contraseña del usuario root para que puedas validar la operación.
Desactivar el acceso al servidor por medio del usuario root
En sistemas como Linux, macOS y UNIX, el usuario root es creado por defecto y cuenta con los permisos de administración referentes al sistema. Esto no es recomendable, ya que puedes acceder al servidor dedicado por medio de este usuario ya que tendrías la posibilidad de hacer operaciones irreversibles en el servidor.
La recomendación es desactivar el acceso directo que corresponde a los usuarios root por SSH. Para hacer esto, tienes que editar el archivo de configuración SSH como se explicó antes en este post.
Ahora debes conectarte por SSH al servidor y colocar el siguiente código:
nano /etc/ssh/sshd_config
Localiza la sección y sustituye yes por no en la línea que corresponde a PermitRootLogin.
# Authentication: LoginGraceTime 120 PermitRootLogin yes StrictModes yes
Cuando termines de guardar y cerrar el archivo de configuración, debes reiniciar el servicio SSH para que los cambios se realicen con el siguiente código:
/etc/init.d/ssh restart
Instalación y configuración del paquete Fail2ban
Fail2ban es una herramienta que previene las intrusiones que puedan bloquear las direcciones IP desconocidas que quieran ingresar en el sistema. Lo más recomendable es usar este paquete para proteger cualquier tipo de ataque en el servidor.
Para llevar a cabo la instalación de Fail2ban debes colocar el siguiente código:
apt-get install fail2ban
Cuando tengas instalado el paquete, tienes que editar el archivo de configuración para que se adapte al sistema. Cuando vayas a realizar cualquier modificación, es recomendable hacer una copia de seguridad introduciendo el código:
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.backup
Realiza los cambios correspondientes en el archivo:
nano /etc/fail2ban/jail.conf
Cuando hagas los cambios, reinicia el servicio usando el siguiente código:
/etc/init.d/fail2ban restart
Configuración del firewall interno
La distribución de base cuenta con un servicio de firewall que se denomina iptables. Dicho servicio no cuenta con reglas activas. Esto lo puedes comprobar colocando el siguiente código:
iptables -L
Debes crear y adaptar las reglas del firewall en función de su utilización.
Configurar el firewall de red en OVH
Los servidores con los que cuenta la empresa OVH tienen un firewall de red en la entrada. Cuando se activa y configura debidamente se puede bloquear ciertos protocolos antes de que lleguen al servidor.
Almacenar copia de seguridad del sistema y los datos
La seguridad de la información siempre va más allá de proteger el sistema frente a posibles ataques. OVH cuenta con un espacio de backup de 500 GB gratuitos en tu servidor dedicado. Puedes activar este espacio desde tu área de cliente e ingresar a él por medio de los diferentes protocolos.
Ahora puedes proteger un servidor dedicado en OVH de una forma muy fácil. Para mayor información puedes contactar directamente con el Centro de Ayuda.