{"id":512,"date":"2018-05-17T12:46:13","date_gmt":"2018-05-17T10:46:13","guid":{"rendered":"https:\/\/blogs.ugr.es\/seguridadinformatica\/?p=512"},"modified":"2018-05-17T12:46:13","modified_gmt":"2018-05-17T10:46:13","slug":"bastionado-de-un-servidor","status":"publish","type":"post","link":"https:\/\/blogs.ugr.es\/seguridadinformatica\/bastionado-de-un-servidor\/","title":{"rendered":"Bastionado de un servidor"},"content":{"rendered":"<div>\n<p><a href=\"https:\/\/blogs.ugr.es\/seguridadinformatica\/normativa-ciberseguridad-en-ugr\/ordenadorseguro\/\" rel=\"attachment wp-att-169\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-169 alignleft\" src=\"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-content\/uploads\/sites\/47\/2018\/03\/OrdenadorSeguro.jpg\" alt=\"\" width=\"147\" height=\"110\" srcset=\"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-content\/uploads\/sites\/47\/2018\/03\/OrdenadorSeguro.jpg 600w, https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-content\/uploads\/sites\/47\/2018\/03\/OrdenadorSeguro-300x225.jpg 300w\" sizes=\"auto, (max-width: 147px) 100vw, 147px\" \/><\/a>Una de las tareas comunes que deben aplicarse a un servidor que va a pasar a producci\u00f3n es fortalecer la seguridad que lleva por defecto el sistema. A esto se le llama bastionar o securizar.<\/p>\n<p>Los siguientes puntos se van a centrar \u00fanicamente en la seguridad de la m\u00e1quina, sin extenderse en los elementos externos que se pueden utilizar para securizar el equipo, como NIDS, IPS, firewalls, auditor\u00edas peri\u00f3dicas o ca\u00f1ones de fotones.<\/p>\n<ul>\n<li><strong>Software siempre actualizado.<\/strong><\/li>\n<li><strong>Configuraci\u00f3n deficiente de las aplicaciones.<\/strong>\n<ol>\n<li><strong>Ocultar en la medida de lo posible informaci\u00f3n \u201cjugosa\u201d.<\/strong><\/li>\n<li><strong>Cifrados d\u00e9biles.<\/strong><\/li>\n<li><strong>Permisos de usuario y administrador.<\/strong><\/li>\n<li><strong>Pol\u00edtica de contrase\u00f1as.<\/strong>\n<ol>\n<li>Aplicar una pol\u00edtica restrictiva cuando se vaya a almacenar una contrase\u00f1a, como el tama\u00f1o m\u00ednimo, el uso de may\u00fasculas, n\u00fameros, caracteres especiales.<\/li>\n<li>Controlar el acceso a la aplicaci\u00f3n, con un m\u00e1ximo de intentos, o un delay entre intentos.<\/li>\n<li>Evitar que se pueda utilizar una palabra de diccionario. Se puede usar un agente que lo detecte: <a href=\"http:\/\/www.debian-administration.org\/articles\/59\">http:\/\/www.debian-administration.org\/articles\/59<\/a><\/li>\n<li>Y sobre todo, <strong>nunca nunca usar la misma contrase\u00f1a para cada cuenta o servicio o m\u00e1quina<\/strong>. Vulneran una contrase\u00f1a, y pueden tomar el control del resto de servicios o m\u00e1quinas. Como acordarse de todas ellas es imposible para un mortal medio, es recomendable usar herramientas como KeePass o Password Gorilla.<\/li>\n<li>Usar herramientas espec\u00edficas de hardening, como WAFs o <a href=\"https:\/\/www.securityartwork.es\/2012\/01\/16\/phpids-securiza-tu-web\/\">PHPIDS<\/a><\/li>\n<\/ol>\n<\/li>\n<\/ol>\n<\/li>\n<li><strong>Permisos de ficheros.<\/strong><\/li>\n<li><strong>Monitorizar o restringir el acceso a cuentas privilegiadas.<\/strong><\/li>\n<li><strong>Eliminar servicios innecesarios.<\/strong><\/li>\n<li><strong>Aislar la m\u00e1quina del resto de equipos.\u00a0<\/strong><\/li>\n<li><strong>Usar un HIDS.<\/strong><\/li>\n<li><strong>Uso de syslog remoto.<\/strong><\/li>\n<li><strong>Usar parches del kernel como SELinux, AppArmor, o PaX.<\/strong><\/li>\n<li><strong>Particionar para aplicar distintas directivas de seguridad.<\/strong><\/li>\n<li><strong>Uso de sudo.<\/strong><\/li>\n<li><strong>Otros:<\/strong>\n<ol>\n<li>Monitorizaci\u00f3n de recursos, como RAM, CPU, espacio en disco, o servicios levantados. Imprescindible para un <em>sysadmin<\/em> conocer en todo momento el estado de un servidor.La herramienta m\u00e1s popular para esta tarea es Nagios.<\/li>\n<li>Backups y plan de contingencias: de nada habr\u00eda servido todo este bastionado si un fallo de disco duro hace que se pierda toda la informaci\u00f3n y el servicio quede inaccesible. Para eso es imprescindible un sistema de copias de respaldo y si el servicio que ofrece es cr\u00edtico, pensar en implantar un sistema de alta disponibilidad que redunde el servicio inmediatamente en caso de que \u00e9ste caiga.<\/li>\n<\/ol>\n<\/li>\n<\/ul>\n<p>Art\u00edculo completo en: <a href=\"https:\/\/www.securityartwork.es\/2012\/01\/24\/bastionando-un-servidor-algunas-indicaciones\/\" target=\"_blank\" rel=\"noopener\">securityartwork<\/a><\/p>\n<\/div>\n<div class=\"post-info\"><span class=\"date published time\" title=\"2012-01-24T11:39:04+00:00\">Fuente: <\/span>\u00a0<span class=\"author vcard\"><span class=\"fn\"><a href=\"https:\/\/www.securityartwork.es\/author\/jchica\/\" rel=\"author\">Jos\u00e9 L. Chica<\/a><\/span><\/span><\/div>\n<div class=\"entry-content\">\n<div class=\"sharedaddy sd-sharing-enabled\">\n<div class=\"robots-nocontent sd-block sd-social sd-social-icon sd-sharing\">\n<div class=\"sd-content\"><\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Una de las tareas comunes que deben aplicarse a un servidor que va a pasar a producci\u00f3n es fortalecer la seguridad que lleva por defecto el sistema. A esto se le llama bastionar o securizar. Los siguientes puntos se van a centrar \u00fanicamente en la seguridad de la m\u00e1quina, sin extenderse en los elementos externos [&hellip;]<\/p>\n","protected":false},"author":27,"featured_media":169,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_genesis_hide_title":false,"_genesis_hide_breadcrumbs":false,"_genesis_hide_singular_image":false,"_genesis_hide_footer_widgets":false,"_genesis_custom_body_class":"","_genesis_custom_post_class":"","_genesis_layout":"","footnotes":""},"categories":[16,32],"tags":[33,26],"class_list":{"0":"post-512","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-buenas-practicas","8":"category-consejos","9":"tag-consejos","10":"tag-proteccion","11":"entry"},"_links":{"self":[{"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/posts\/512","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/users\/27"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/comments?post=512"}],"version-history":[{"count":2,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/posts\/512\/revisions"}],"predecessor-version":[{"id":514,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/posts\/512\/revisions\/514"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/media\/169"}],"wp:attachment":[{"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/media?parent=512"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/categories?post=512"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/tags?post=512"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}