Hardening de servicios

En este post se explicarán trucos básicos para poder securizar lo máximo posible los servicios que tengamos en el servidor. Aun que parezca una tontería el mero hecho de que el servicio muestre su versión, da muchas pistas a cerca de que vulnerabilidades podría tener. Por lo tanto es recomendable el evitar fugas de información de este tipo, además de no dejar agujeros abiertos a posibles ataques.

Exim

Crear el certificado diffie-hellman si no existe ninguno

Editar el archivo de configuración

Descomentar y cambiar:

Reiniciar el servicio

Dovecot

Editar el archivo de ssl de dovecot y añadir lo siguiente:

Reiniciar el servicio

VSFTP

Editar el archivo de configuración

Añadir:

Reiniciar el servicio

SSH

Editar el archivo de configuración

Ocultar la versión de Debian

[/crayon]
Cambiar el puerto

Para cuando se establezca la conexión no compruebe el DNS

Es recomendable no utilizar contraseñas y forzar todas las conexiones por certificado

No permitir que el usuario root se conecte por SSH

Permitir solo ciertos usuarios

LAMP

Para bastionar los servicios Apache, PHP y MySQL hay ir al siguiente post

Kernel

Editar el sysctl.conf

Añadir lo siguiente

Aplicar cambios

Consejos adicionales

También es recomendable el instalar un HIDS para poder tener controlado todo lo que pasa en el host y en el caso de ser atacados, poder realizar acciones automáticas como puede ser el bloqueo del atacante. Para esto una herramienta recomendada es OSSEC. Mas info aquí

Por otro lado, es recomendable el realizar escaneos de vulnerabilidades periódicos contra los equipos para detectar vulnerabilidades. Para esto, hay herramientas muy útiles como pueden ser: sparta, arachni, OSSIM.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *