Un servidor Web desprotegido es un objetivo de ataque muy codiciado por hackers y personas que realizan acciones ilegales como almacenamiento de material pedrasta, racista y otro tipo de material prohibido, por gente que envía spam o realiza ataques XSS o XSRF; esto es así dado que los servidores normalmente poseen gran capacidad de cómputo, alta capacidad de almacenamiento y buen ancho de banda. Por esto mismo he querido publicar aquí algunas de las medidas de seguridad básicas para mentener en nuestros servidores Web y no caer tan facilmente en las manos de algún hacker sin experiencia. Aquí les van:
- Usar siempre software en su última versión release (estable): Esto ya que las últimas versiones traen normalmente resueltos problemas de seguridad detectados que podrían ser usados en contra de un servidor.
- Instalar solo los servicios necesarios que se van a utilizar: (por ejemplo Servidor Web o Servidor de base de datos), nunca instalar servicios que no se utilizarán como servidores de correo innecesarios y servicios de compartir de archivos entre otros.
- Cambiar puertos por defecto: a las aplicaciones comunes que se puedan considerar vulnerables (Ejemplo MySQL).
- Cerrar todos los puertos del servidor que no sean estrictamente necesarios: normalmente para un servidor Web se requiere el puerto 80, el puerto de correo a utilizar (solo de requerirse un servicio de correo) y algún puerto para conexión remota al servidor como el 22 para ssh, el cual se recomienda cambiar.
- Instalar un firewall: si se usa linux iptables está perfecto, si se usa windows la versión gratuita de Zone Alarm es una buena alternativa
No instalar los siguientes servicios en los servidores Web:- Finger
- SNMP
- Si se desea instalar un FTP, en su lugar usar SFTP.
- Mantener constantemente actualizado el software instalado (Incluido el Sistema Operativo): de esta forma se tienen siempre las versiones de las aplicaciones que tienen corregidos fallos de seguridad.
- No permitir en los accesos SSH el ingreso del usuario Root: solo se podrá acceder a él mediante algún usuario previamente autenticado ejecutando las instrucciones "su" o "sudo -s".
- Usar siempre contraseñas seguras: con más de 10 caracteres que incluyan letras mayúsculas, letras minúsculas, símbolos y números.
- No crear archivos PHPINFO públicos, ni instalar phpmyadmin en servidores.
- Si se usa Tomcat, borrar los archivos de administración por defecto.
- Crear páginas de error genérico que no entreguen información sobre el servidor de aplicaciones.
- Ocultar los errores y excepciones de las aplicaciones para los diferentes lenguajes de programación usados, en su lugar enviarlos siempre a los archivos de Log.
- No dejar público contenido que no sea estrictamente necesario, por ejemplo dejar respaldos de sitios, dump de bases de datos, archivos con información sensible u otros.
Esas son algunas de las mías, ¿qué consideración de seguridad propondrías tu?
Karina ha comentado el lunes, 12-07-10 19:30.
te amooooooooooooooo mi profe de Linux =)