Mostrando entradas con la etiqueta trucos de seguridad en ubuntu. Mostrar todas las entradas
Mostrando entradas con la etiqueta trucos de seguridad en ubuntu. Mostrar todas las entradas

sábado, 10 de octubre de 2015

Cómo Reforzar la seguridad de tu Ubuntu

Primero de todo os debo una disculpa. Mas de un año sin publicar nada. Lo siento mucho. De verdad que lo siento. Eso tiene una explicación. En septiembre del 2014 la salud de mi madre empezó a resentirse y en los meses siguientes su enfermedad se agravo progresivamente y mi animo fue decayendo y deje de la informática para centrarme solo en estar para mi madre. En febrero del 2015 falleció y desde entonces no he hecho nada, y aun no tengo muchas fuerzas para hacer lo que hacia antes. Podéis ver la foto de mi madre publicada a en la columna derecha de este bloc. Este post me ha supuesto un esfuerzo y espero que me disculpeis sin tardo bastante en ofreceros algo nuevo. Este post me ha costado muchos días y horas de ensayo y error, y por favor, os pido que si tomáis prestada la información me mencionéis como autor, y pongáis un enlace al bloc. Es lo menos que podéis hacer para agradecer mi trabajo y por favor, hacerlo por la memoria de mi madre, darle un agradecimiento. Yo estoy aquí por ella. Una madre se lo merece todo.

Gracias a todos. 

Cómo blindar la seguridad de tu Ubuntu 12, 14, 15, incluso versiones superiores.

Lo primero que deberías preguntarte es, ¿Ubuntu es bastante seguro? Bueno Ubuntu por si solo viene con algunas medidas de seguridad, digamos medidas básicas, pero no es cien por cien seguro porque algunas hay que activarlas. Eso si, te garantizo que es mucho mas seguro que Wirrindows salido de fabrica, pero no es absolutamente seguro. La seguridad de tu sistema operativo es tu responsabilidad y por ello debes ser tu quien se preocupe de establecer las medidas y las políticas de protección de tu maquina.  Siguiendo esa linea voy a proporcionarte unas cuantos trucos (medidas) sobre como blindar la seguridad de tu Ubuntu. Para empezar, lo primero es pensar que tu configuración de fabrica de Ubuntu, la que viene por defecto no es segura por mucho que lo digan los linuxeros. Mi consejo es que revises esa configuración para saber si en tu maquina tienes brechas de seguridad. Puedes llamarme paranoico por pensar así pero he estado trabajando y ensayando trucos para proteger Ubuntu. En este post, te voy a mostrar cómo mejorar la seguridad de tu Ubuntu, añadiendo software extra y modificando la configuración que viene por defecto de Ubuntu.


Usar aptitude en vez de apt-get

Los usuarios del terminal de Ubuntu suelen usar el comando sudo apt-get para instalar paquetes, pero la forma mas segura y rápida de hacer una instalación de un paquete es usar sudo aptitude (nombre del paquete). Configura tu terminal para poder usar el comando aptitude. Esto se consigue del siguiente modo:

sudo apt-get install aptitude

Cuando se instale el comando, ya podrás usar aptitude en vez de apt-get siempre que lo desees. Incluso escribiendo en el terminal la orden

aptitude


Veras aparecer la utilidad para actualizar todo el sistema con tan solo elegir la simple opción “U”. Es mucho mas eficaz que solo el apt-get update


Desactiva servicios peligrosos con  Boot Up Manager

En mis primeros comienzos con un Winrrindos 95 GUI yo ya desactivaba servicios, esto no es una novedad, yo lo hacia años atrás en las siguientes versiones de 98, Me, 2000, Windows XP, Vista, W7, y ese aprendizaje me lo he traído para Linux Ubuntu. El primer paso para endurecer la seguridad de Ubuntu sera desactivar permanentemente los servicios que no necesitamos y de esta forma lograremos aligerar carga de procesos al sistema, lo cual aumentara la seguridad, el rendimiento, y también reducirá algo el consumo de memoria por eliminar servicios.  Bien, imagino que estas en la versión Ubuntu 15.04. Ahora para desactivar servicios es necesario instalar la herramienta el Boot Up Manager, y después podremos desactivar esos servicios que se ejecutan y que no nos proporcionan mayor ventaja. Abre la terminal de Ubuntu y escribe el comando para ser root:

sudo -s

Cuando ya seas root escribe el comando de instalación de BootUp Mánager:

sudo aptitude install bum

Debo añadir que si el terminal arroja algún tipo de error, es porque necesitas tener previamente instalado el “repositorio universe o multiverse”. Si lo encuentras complicado, vete al Centro de Software de Ubuntu, lo buscas y lo instalas desde allí. Cuando termine la instalación de BootUp Manager, en Unity buscas Bootup y lo veras aparecer. Y si estas en Gnome clasic vas a Sistema> Administración>  Boot Up Manager. Una vez abierto el panel gráfico de BootUp Manager vamos a desactivar servicios inútiles que no necesitamos. Desactiva las marcas de verificación situadas junto a los servicios que se ejecutan. Estos servicios son los que yo tengo desactivados por seguridad, pero en tu caso te recomiendo ir desactivando uno a uno, hacer un reboot, probar a ver la estabilidad del sistema, y luego repetir la operación de uno en uno con los servicios que vayas desactivando. Esa es la técnica mas segura que desactivarlos todo al mismo tiempo, ya que se el sistema se volviera inestable, sabrías que ha sido por desactivar el ultimo servicio. Creo que lo entiendes. Bueno, comenzamos:


Servicio Apport: ¿Para que sirve? Es una Herramienta que te informa de los errores en los programas.
Para que quiero notificación de informes de errores si Ubuntu envía a Canonical un informe de error? Pues desactivado y listo.


Servicio Saned: ¿Para que sirve? Es el escáner de servicios de Ubuntu.
¿De que me sirve un escáner de servicios si lo que necesito es aligerar carga de servicios? Pues desactivado y punto.


Servicio Rrsync ¿Para que sirve? Sirve para copiar rápidamente archivos de programa de manera remota.
Estamos hablando de seguridad, de hacer mas seguro nuestro sistema, y vemos que  Rrsync tiene un servicio disponible para atrapar archivos vía remota, con el riesgo de que nos cuelen un escript malicioso y nos estrellen el sistema. Pues desactivado porque no lo uso ni lo necesito.


Servicio Avahi-daemon ¿Para que sirve? Es un explorador de servicios que descubre servicios abiertos y servidores disponibles dentro de una LAN, una red local.
Avahi-daemon es un demonio de Linux bastante molesto y plomizo. Si no tienes un red Local y servidor, solo esta incordiando tratando de hacer conexiones. Nosotros queremos control, no un servicio que no puedes controlar a que se conecta. Desactivado.


Servicio Cron   ¿Para que sirve? Cron es una utilidad  de limpieza programable que se ejecuta cuando tu se lo indicas.
Si tu le haces el mantenimiento y la limpieza a tu Ubuntu con Bleachbit por ejemplo, ¿para que quieres un servicio de tareas programables activado y corriendo? Desactivado, y yo le hago la limpieza cuando noto que la necesita.


Servicio Cups  ¿Para que sirve? El servicio Cup tiene de ver con la cola de impresión, gestiona los trabajos de impresión de una impresora.
Si no tienes impresora, o si la tienes la usas poco, y apenas imprimes cosas, ¿para que te hace falta cups? Desactivado, y cuando necesites imprimir lo activas y listo, y luego vuelta a desactivarlo para ganar estabilidad y seguridad.

   
Servicio speech-dispatcher ¿Para que sirve? El dispacher (Despachador) sirve como interfaz común para los sintetizadores de voz.
El dispaches no me hace ningún servicio porque yo no uso sintetizador de voz, y es un servicio inútil que me consume recursos, así que lo desactivo y adiós.


Servicio ATD ¿Para que sirve? El ATD Es un programador de tareas de trabajo. 
Si tu no programas tareas de trabajo en tu Ubuntu, cosa bastante inútil por cierto, es mejor que lo desactives, no te hace falta.

En la captura de pantalla puedes ver como he limpiado los servicios inútiles y cual es el aspecto final del panel del BootUp Mánager después de desactivar los que no necesito. Cabe una advertencia. Hay algunos servicios esenciales que no podrás desactivar; de hacerlo pones en riesgo la estabilidad del sistema. Después de haber estrellado Ubuntu 9 veces y hacer pruebas, en mi caso aprendes a saber que servicios son los que necesitas y cuales puedes desactivar o activar sin riesgo. Ahora la pregunta clave del porque hacemos este retoque tan preciso en la configuración de servicios de Ubuntu. Es muy simple de entender, en términos de seguridad algunos servicios pueden o no abrir puertos adicionales de software, y como ya puedes deducir, si en Ubuntu tienes puertos abiertos que dan salida o entrada a servicios que ni sabes que están ahí, pero los hackers si, tu equipo esta expuesto a ataques. Si tienes una de un servicio a nivel local, lo que pasas por alto, es que puerto puede estar abriendo y ejecutando.  


Cierra puertos con el firewall UFW desde la terminal

El gran problema de Ubuntu es que viene con un cortafuego muy bueno preinstalado de fabrica, pero no viene activado. Sabiendo que por defecto Ubuntu viene de fabrica permitiendo que hayan bastantes servicios ejecutándose sin que tu lo sepas, y que estos servicios pueden abrir puertos, conviene preocuparse por averiguar como cerrarlos. Hace años atrás yo usaba mucho Firestarter, un gran firewall que permitía hacer NAT entre dos interfaces de red con un par de clics. Por desgracia Firestarter ha quedado obsoleto y suspendido sin mantenimiento y no detiene nada. La solución mas simple pasa por activar el activar el cortafuegos de Ubuntu. Activar y levantar ese cortafuegos es responsabilidad tuya. ¿Como se hace? ¿Como cierro los puertos peligrosos? Esto es fácil! Regresamos al terminal, escribimos:

sudo -s

Ahora le preguntamos a Ubuntu desde el terminal, en que estado se encuentra el cortafuegos interno y si esta filtrando el trafico de conexiones:

sudo ufw status

La respuesta que nos da es: “inactivo”

Esta situación es peligrosa. Hay que levantar el cortafuegos inmediatamente para que empiece a filtrar nuestro trafico de conexiones en internet. Para eso le pedimos a Ubuntu que active el cortafuegos:

sudo ufw enable

Ubuntu nos confirma con un mensaje que  UFW, el cortafuegos esta activo:

“EL CORTAFUEGOS ESTÁ ACTIVO Y HABILITADO EN EL ARRANQUE DEL SISTEMA”

Este es un primer paso para tener un poco protegido el sistema. Si tu quieres cerrar o abrir puertos, basta con que en el terminal escribas el comando junto con el puerto que deseas cerrar. Supongamos que yo quiero cerrar un puerto peligroso que me revuelve el estomago. ¿Como se que puertos tengo abiertos? Hacemos un netstat en el terminal y lo averiguamos:

sudo netstat -lp --inet

1/tcp     open  tcpmux
79/tcp    open  finger
111/tcp   open  rpcbind
119/tcp   open  nntp
139/tcp   open  netbios-ssn
143/tcp   open  imap
445/tcp   open  microsoft-ds
631/tcp   open  ipp
1080/tcp  open  socks
1524/tcp  open  ingreslock
2000/tcp  open  cisco-sccp
6667/tcp  open  irc
12345/tcp open  netbus
31337/tcp open  Elite
32771/tcp open  sometimes-rpc5
32772/tcp open  sometimes-rpc7
32773/tcp open  sometimes-rpc9
32774/tcp open  sometimes-rpc11

Tomo como ejemplo el puerto 445/tcp open microsoft-ds que esta abierto. Este puerto por su nombre ya me me molesta bastante, y no me gusta que este abierto y también porque no lo necesito abierto. Para cerrarlo escribo en el terminal:

sudo ufw deny 445/tcp

El cortafuegos nos responde_

Regla añadida
Regla añadida (v6)

Con este comando voy cerrando solo los puertos que detecto como sospechosos de tener alguna actividad. 


Como evitar que alguien Spofee (Spoofin) tu maquina

Uno de los ataques mas molestos en internet es el de suplantación de identidad, y para detenerlos debes estar logeado en el terminal como root y editar el fichero sysctl.conf y para eso escribes lo siguiente:

nano /etc/sysctl.conf

Veras aparecer la lista del protocolo Ipv4. Quita el símbolo # delante de cada línea  dentro de este archivo, para activar las funciones de seguridad del kernel proporcionadas por estas líneas de comandos en  /etc/sysctl.conf. Así que quita la almohadilla delante

# Net.ipv4.conf.default.rp_filter = 1
# Net.ipv4.conf.all.rp_filter = 1
# Net.ipv4.tcp_syncookies = 1
# Net.ipv4.conf.all.accept_redirects = 0
# Net.ipv6.conf.all.accept_redirects = 0
# Net.ipv4.conf.all.send_redirects = 0
# Net.ipv4.conf.all.accept_source_route = 0
# Net.ipv6.conf.all.accept_source_route = 0
Una vez que has borrado las almohadillas, y lo has modificado, guarda el archivo /etc/sysctl.conf, y escribe en el terminal sysctl -p para activar la configuración de seguridad del núcleo del Kernel que has modificado. Desde el terminal el Kernel te dará un mensaje de confirmación:

root@usuario:~# sysctl -p
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0 

Instala un Antivirus para proteger tus pendrives

Aunque el antivirus casi no lo vas a usar, conviene que lo tengas instalado por una razón, puede que uses (Compartas) memorias USB con algun grupo de amigos. Probablemente ellos usaran Windows 7 o la version 8, y a tu sus virus no te afectaran y ni siquiera notaras que esta ahí. Pero tus amigos si que lo notaran porque en el intercambio de memorias USB esos virus infectaran mas maquinas windows. Por tanto instala Clamav (Clamavat) desde el centro de software o desde el terminal en modo root como mas te interese; desde el terminal usa:

sudo aptitude install clamav

Una vez instalado, desde el terminal y antes de usar el antivirus en algún dispositivo debes actualizar la base de datos de firmas de virus, haciendo:

sudo freshclam.

Y para usar el antivirus desde el terminal hay dos modos sencillos:

Para un archivo y una carpeta
clamscan -r -i (Nombre del archivo sospechoso o carpeta sospechosa)

Por ejemplo, si quiero verificar la integridad de una carpeta dentro de la cual  sospecho que se ha bajado algún fichero sospechoso…

clamscan -r -i Descargas

El resultado es el siguiente

SCAN SUMMARY -----------
Known viruses: 4019700
Engine version: 0.98.7
Scanned directories: 1
Scanned files: 1
Infected files: 0
Data scanned: 0.00 MB
Data read: 0.67 MB (ratio 0.00:1)
Time: 18.168 sec (0 m 18 s)


Para solo un archivo
clamscan -i (Nombre del archivo)

Bueno, como veis no es necesario tener instalada la interfaces gráfica de Clamav para poder mirar la seguridad de una carpeta porque desde el propio terminal es mucho mas rápido, ligero, y sencillo.


Controla las puertas traseras y las invasiones del sistema en Ubuntu

Para prevenir que alguien logre acceso a tu Ubuntu de forma remota, precisamente instalando una puerta trasera (Abriendo un puerto) por la que cualquier Hacker media mente experto podría llegar a colarse en tu maquina y espiarla, tenemos la opción de instalar un par de paquetes de seguridad llamados  rkhunter y chkrootkit. Ambos paquetes “escanean tu sistema en busca de conexiones sospechosas” que alguien puede haber logrado a través de algún puerto.

Entra en el terminal como root:

sudo -s

A continuación:

sudo aptitude install rkhunter

Cuando termine de instalar  rkhunter, escribes en el terminal lo siguiente:

sudo aptitude install chkrootkit

Después de tener los dos anti rootkits instalados, ejecutas una limpieza en el sistema escribiendo en el terminal

rkhunter -c

Y cuando termine, usas chkrootkit de la misma manera:

chkrootkit

En ambos casos veras alertas en rojo, antes de ponerte nervioso, copia y pega la alerta en el cajón de búsquedas de Google, para asegurarte de que no se trata de un “falso positivo”.

Como es lógico, estos dos paquetes no solo necesitan mantenimiento sino su correspondiente actualizaron. Para rkhunter, escribe en el terminal

rkhunter-update

Para chkrootkit, como usuario root sólo tendrás que escribir en el terminal chkrootkit.


Desactivar la herramienta Telnet

Telnet es una herramienta de conexión remota que se usaba para conectarse remotamente a un servidor web, o a un software especifico como un FTP, o un servidor de correo. Esta herramienta aun se usa pero hace años fue sustituida pos otra mucho mas segura llamada ssh. En la actualidad Telnet es muy inseguro y apenas tiene utilidad y de tenerlo activado solo puede causarte serios problemas de seguridad en el sistema. Incluso si lo tienes activo, un hacker puede ver ese puerto telnet abierto desde cualquier parte del mundo usando la herramienta de escaner nnmap. Por tanto yo aconsejo no correr riesgos inútiles y vamos a quitar telnet. Para ello, en la terminal y como root escribimos:

sudo aptitude tipo remove telnet

Realmente no solo estarás mucho mas seguro sino que el sistema se agilizara un poco y tu ganaras un poco mas de tranquilidad mental sabiendo que nadie puede intentar conectarse a tu portátil con telnet.


Instalar Tiger, la bestia atrapa hackers

Entre las diversas herramientas de protección y seguridad de que dispone Debian y Ubuntu podemos encontrar Armour, y Tiger. Yo probé Tiger y es realmente bueno porque hace una auditoría completa del sistema, metiéndose por todos los senderos internos de Ubuntu. Esos si, te advierto que consume muchos recursos y que una auditoría puede emplear alrededor de mas de una hora, pero el resultado final es excelente.  Vete al terminal y escribe:

sudo aptitude install tiger

O mucho mas fácil, vete a synaptic e instálalo desde allí. Tras la instalación, hacer una auditoría es sencillo

tiger

Y deja que el sistema se auto diagnostique el solo. 

Controla el trafico de tu router desde el terminal

En internet, y con la seguridad, soy muy exigente. Exigente es el eufemismo de paranoico, y a mi me gusta poder controlar algunas cosas. Ocasionalmente hago auditorías de seguridad a mi propio router, solo para ver que una actualizaron de su Firmware no me a abierto puertos sin que yo me de cuenta. Para ello compruebo si hay puertos abiertos, y esto lo hago utilizando nmap. Entra en la terminal y como root haz

sudo ifconfig

Para ver el inet de tus interfaces de red activas, alli deberías ver algo parecido a esto

eth0 o wlan0 dirección: 192.168.xx

Ahora instala nmap para comprobar que las IP inet addr, me refiero a las interfaces de red eth0 y las wlan0 están siendo usadas solo por ti. Después de instalar nmap, vamos a asumir que tu router no es seguro y que debes probar su seguridad. Desde el terminal escribe lo siguiente:

sudo nmap -sTU 192.168.1.1

Después de unos minutos obtendrás un diagnostico. Si sabes como hacerlo, cierra los puertos de tu router que no usas. Si no haces descargas con torrent y emule, cierra esos puertos, y si no juegas en red a juegos, también ciérralos. Ahora repite la operación contra tu propio equipo, me refiero contra tu PC o portátil:

sudo nmap -sTU 192.168.2.1

sudo nmap -sP 192.168.2.1/24

Esta vez, veras bastantes puertos abiertos. Recuerda que con UFW podrás cerrarlos sin problemas, pero cuidado con lo que cierras, porque si cierras un puerto critico, tus conexiones con Internet podrían verse afectadas.

Esto es todo. No he puesto muchas capturas de pantalla porque es fácil seguir las instrucciones del texto. Os recuerdo que estoy en facebook con relativa frecuencia y twitter ocasionalmente, y en el canal tube también. Si mandáis mensajes a través de esos sitios puedo tardar en entrar, mirar los mensajes, y responder.

LinkWithin

Related Posts Plugin for WordPress, Blogger...