Buenas prácticas en distribuciones Debian y Ubuntu
Debian y sus distribuciones derivadas forman una importante rama de sistemas operativos para servidores basados en Linux. En este artículo vamos a abordar estas distribuciones bajo un enfoque práctico, explicando algunas de las recomendaciones más importantes que conviene tener en cuenta.
Si quieres una información más básica que te ayude a entender la relevancia de estos sistemas operativos, en recientemente explicamos cuáles son las características principales de Debian y distribuciones derivadas como Ubuntu.
Seguridad en Debian
Creemos que las mejores prácticas para servidores consisten en mantener una correcta seguridad del sistema. Para ello, es importante:
Crear buenas contraseñas
No solamente para los usuarios del sistema operativo, sino también para todos los servicios que podamos instalar, como paneles de administración, las bases de datos, etc.
Uso de llaves SSH
Las llaves SSH no solo permiten aumentar la seguridad de los sistemas, sino además mejoran el flujo de acceso a los servidores. Es incluso una buena práctica desactivar el login mediante contraseña en el servidor, para que solamente se permita con una llave SSH correcta. Puedes aprender en nuestro blog a crear y configurar llaves SSH.
Desactivar el login con el usuario root
En la medida de lo posible es siempre una recomendación desactivar el usuario root del sistema operativo. En lugar de usar ese usuario debemos crear uno que pertenezca al grupo de los administradores, que tenga permisos para realizar las tareas administrativas, con lo que estaremos una nueva barrera de seguridad pues, aunque nos robasen la llave SSH, aún tendrían que disponer de la clave para hacer tareas como superusuario.
Mantener abiertos únicamente los puertos necesarios
Para ello es importante contar con un firewall instalado como software en el propio sistema operativo, o si estamos en el cloud de Arsys simplemente configurar los servicios de firewall de la manera más restrictiva posible.
En Debian o Ubuntu puedes usar comandos como ss o netstat para saber los puertos abiertos. Este comando te dará una información resumida con respecto a puertos abiertos:
sudo netstat -tulpn | grep LISTEN
Evitar ataques de fuerza bruta con fail2ban
Si no podemos desactivar el login con contraseña, al menos debemos asegurarnos que exista un software como fail2ban que permita poner en lista negra a todas las IP que realicen varios intentos de acceso con contraseña incorrecta.
Software de Ubuntu / Debian
Es importante tener en cuenta qué instalamos en el servidor, puesto que el software que exista en la máquina puede también introducir brechas de seguridad
Mantener actualizado todo el software
Es clave que realicemos un acceso periódico al servidor para actualizar todas las dependencias de software de la máquina. Si es posible, programar actualizaciones automáticas que tengan relación con la seguridad.
La actualización del software la consigues mediante apt, que es el gestor de paquetes de Debian y derivados. Para ello lanzas los comandos:
sudo apt update
sudo apt upgrade
Desinstalar todo el software que no necesitamos
Por supuesto, el servidor debería tener solamente aquellos programas que realmente necesitamos. Cualquier otro software es mejor eliminarlo del sistema.
sudo apt remove [aplicación]
A veces pueden quedar packages dependientes que no se hayan llegado a borrar después de eliminar un software dado. Podemos asegurarnos de que el sistema está realmente limpio con el comando:
sudo apt autoremove
Copias de seguridad
Por supuesto, no debemos olvidarnos de las copias de seguridad del sistema, que nos permitan salvaguardar los datos de las aplicaciones. Es importante que se realicen las copias de seguridad y se almacenen en centros de datos distintos de donde están los servidores, para asegurarnos que no existe la posibilidad de perder las copias a la vez que las máquinas.
Para ello recomendamos nuestros servicios Backup Web, que permite realizar copias de un sitio web, el código y la base de datos, y realizar monitorizaciones diversas. Y ya más relacionado a la administración de servidores, el producto Backup de servidor. Por supuesto, nuestros servicios de copias de seguridad garantizan que se usan centros de datos distintos para que eventos fortuitos no puedan llegar a ser un problema.