Cómo asegurar su Ubuntu recién instalado

Sin duda, un sistema Linux recién instalado es menos susceptible de sufrir malware, spyware y hacking que un sistema Windows recién instalado. Sin embargo, la mayoría de los sistemas Linux están configurados con algunos ajustes por defecto que son inherentemente inseguros. Algunas distribuciones de Linux están diseñadas para ser instaladas con valores predeterminados muy seguros, pero esto da lugar a sistemas que tienen una dificultad significativa para los nuevos usuarios, especialmente aquellos que no son profesionales de la seguridad informática.

Ubuntu es posiblemente la distribución de Linux más popular hoy en día, y esto se debe a un gran número de factores, uno de los cuales es su facilidad para los nuevos usuarios. Muchos de los ajustes por defecto de Ubuntu están orientados a permitir a los usuarios utilizar sus sistemas inmediatamente después de la instalación con la menor interrupción posible. Aunque esto tiene sus aspectos positivos, también resulta en un sistema que tiene algunos puntos débiles, cambiándolos por la comodidad del usuario. Este artículo le guiará a través de algunos cambios de configuración básicos pero poderosos que le muestran cómo asegurar su Ubuntu recién instalado de muchos de los métodos de ataque comunes.

La mayoría de estos cambios de seguridad requieren la edición de archivos de configuración, y estos archivos suelen ser editables sólo a través del acceso de root (super usuario). Los archivos de configuración se pueden abrir con acceso de root de muchas maneras, pero a continuación se describen tres formas comunes. Asumiendo que el archivo que queremos abrir es “/file/config”.

Para abrirlo a través de un terminal

sudoedit /file/config

O si usa Gnome, presione “Alt + F2” y escriba

gksudo gedit /file/config

O si utiliza KDE, pulse “Alt + F2” y escriba

kdesu kate /archivo/config

Nota: en las capturas de pantalla de abajo, toda la edición se hace usando la terminal, por lo que todos los archivos de configuración se abren usando sudoedit.

Las cosas básicas

Estos son los pasos de configuración que dependen de la forma en que se pretende utilizar el sistema. El primer cambio básico es establecer una contraseña para su usuario. Incluso si usted es el único usuario en el sistema, es importante proteger su ordenador con una contraseña. Si es probable que dé acceso a su sistema a otros usuarios, cree una cuenta de invitado (también protegida con contraseña) que daría a sus invitados. Linux fue construido como un sistema multiusuario desde su inicio, por lo que el cambio de usuarios y múltiples usuarios en el mismo sistema es una parte integral del uso de Linux.

Reconfigurar la memoria compartida

Por defecto, el espacio de memoria compartida (/run/shm) está montado en lectura/escritura, con la capacidad de ejecutar programas. Esto ha sido notado en la comunidad de seguridad como vulnerable, con muchos exploits disponibles donde “/run/shm” es usado mientras se ataca a servicios en ejecución. Para la mayoría de las configuraciones de escritorio y servidor, es aconsejable montarlo como de sólo lectura añadiendo la siguiente línea al archivo “/etc/fstab”.

Abra el archivo “/etc/fstab”:

sudoedit /etc/fstab

Añade la siguiente línea al final del archivo:

none /run/shm tmpfs defaults,ro 00

Sin embargo, hay algunos programas que no funcionarán si “/run/shm” está montado en modo de sólo lectura, como Google Chrome. Si usas Chrome como navegador (o tienes intención de usar Chrome), entonces “/run/shm” debería estar montado en lectura/escritura, y deberías añadir la siguiente línea en su lugar:

none /run/shm tmpfs rw,noexec,nosuid,nodev 00

Denegar el acceso al programa “su” a los que no son administradores

Aparte de su propia cuenta personal, Ubuntu también viene con una cuenta de invitado, para que pueda cambiar rápidamente a ella y prestar su portátil a su amigo. “su” es un programa que permite a un usuario ejecutar un programa como otro usuario en la máquina. Esto es muy útil cuando se utiliza correctamente y es una parte vital del famoso sistema de seguridad de Linux. Sin embargo, se puede abusar de él en un sistema Ubuntu por defecto. Para negar el acceso de la cuenta Guest al programa “su”, escriba lo siguiente en una terminal

sudo dpkg-statoverride –update–add root sudo4750/bin/su

Asegure su directorio personal

Tu directorio personal, por defecto, puede ser accedido por cualquier otro usuario del sistema.

Así que si tienes una cuenta de invitado, tu usuario invitado puede abrir tu directorio home y navegar por todos tus archivos y documentos personales. Con este paso, su directorio personal será ilegible para otros usuarios. Abre un terminal e introduce el siguiente comando (Nota: sustituye “nombre de usuario” por el nombre de tu cuenta de usuario).

chmod 0700 /home/nombredeusuario

Alternativamente, puedes establecer un permiso de 0750 (lee aquí para saber más sobre el permiso de archivos en Linux) para conceder acceso a los usuarios del mismo grupo que tú.

chmod 0750 /home/nombredeusuario

Desactivar el inicio de sesión SSH Root

Por defecto, Ubuntu no permite el acceso SSH directo al usuario root. Sin embargo, si establece una contraseña para su cuenta de root, esto puede ser un riesgo de seguridad potencialmente enorme. Es posible que no tengas sshd instalado en tu sistema. Para confirmar si tiene un servidor SSH instalado, escriba en un terminal

ssh localhost

Obtendrá un mensaje de error “Conexión rechazada” si no tiene un servidor SSH instalado, lo que significa que puede ignorar con seguridad el resto de este consejo.

Si tiene un Servidor SSH instalado, puede ser configurado a través del archivo de configuración ubicado en “/etc/ssh/sshd_config”. Abra este archivo y reemplace la siguiente línea

PermitRootLogin yes

por esta línea

PermitRootLogin no

Conclusión

Enhorabuena. Tienes un sistema Ubuntu medianamente seguro. Con los cambios de configuración anteriores, hemos bloqueado algunos de los vectores de ataque y métodos de penetración más comunes utilizados para explotar los sistemas Ubuntu. Para más consejos de seguridad de Ubuntu, trucos e información en profundidad visita Ubuntu Wiki.

Cookie	Duración	Descripción
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.