Seguridad y gestión de usuarios
Se cierra esta guía para recién iniciados con el tema de la seguridad.
Habrás oido que en GNU/Linux no hay virus. Eso es cierto y a la vez, no lo es.
Virus, lo que se dice y se entiende por ello, no existen. Sin embargo sí hay amenazas tan serias como los virus pero suelen ser creadas para servidores que usan GNU/Linux. Hay, eso sí, una serie de vulnerabilidades que pueden afectar a nuestros sistemas. Generalmente son agujeros de seguridad del software que pueden ser explotados por elementos maliciosos. Igualmente, las vulnerabilidades son reparadas muy deprisa, publicando los conocidos “parches”.
Como usuarios de Ubuntu y GNU/Linux en general, tenemos algunas ventajas inherentes sobre nuestros compañeros usuarios de Windows cuando se trata de seguridad (o falta de ella). Los hackers, al igual que los jugadores, utilizan las leyes de las probabilidades y los promedios en sus esfuerzos por encontrar sistemas informáticos vulnerables en los que entrar. Normalmente se dirigen a los tipos de sistemas que tienen más vulnerabilidades de seguridad. También se centrarán principalmente en las áreas en las que hay más oportunidades para los sistemas no protegidos, es decir, los tipos de sistemas que son más comunes en Internet. En ambos casos, Windows es el sistema operativo predominante. En los círculos de seguridad dicen que Windows tiene una “superficie” mayor para atacar tanto en términos de vulnerabilidades como de número de sistemas.
Linux es más seguro y menos común que los sistemas basados en Windows, con la consecuencia de que los ataques a los sistemas GNU/Linux son menos frecuentes que a los sistemas Windows. Dicho esto, sería una tontería ser complaciente con la seguridad de cualquier sistema, independientemente de si ejecuta Windows, GNU/Linux, FreeBSD o cualquier otro sistema operativo.
Muchos desarrolladores han mostrado una fuerte preferencia por Ubuntu y hay una razón para ello. Es porque Ubuntu en sí mismo es bastante seguro.
Esta guía te ayudará con todo lo que necesitas para el endurecimiento de la seguridad de ubuntu.
Antes de entrar en las medidas de seguridad adicionales, ¿por qué no echamos un vistazo a algunas de los consejos básicos de seguridad de ubuntu? Ellos te ayudarán a entender lo que tienes y tal vez, por qué necesitas tener cuidado.
La mayoría de ellos es para evitar vulnerabilidades de seguridad ubuntu y hacen que tu sistema sea seguro.
Antivirus: Es cierto que el antivirus es una medida eficaz. Pero no lo cubre todo y necesitas dar un paso atrás y pensar si puedes vivir con las consecuencias de no usar mejores medidas de seguridad y simplemente confiar en el antivirus. Un antivirus en Ubuntu no te servirá porque no existen virus pero sí si envias correos electrónicos y archivos a otra máquina que no sea GNU/Linux, es decir, a Windows. ClamAV es el que recomiendo.
Seguridad del navegador: Un número considerable de amenazas a la seguridad se originan aquí. Puedes cambiar las cosas haciendo algunos cambios como establecer preferencias, usar NoScript, usar AdBlockPlus, y más cosas por el estilo. Es posible que sin desearlo, te descargues malware. Es excepcionalmente raro pero existe la posibilidad.
Copia de seguridad después de la reinstalación: Esto funciona a tu favor. A veces, no tienes un aviso previo y es posible que tengas que reinstalar Ubuntu por un grave error que hayas cometido. Estos son los momentos en los que se pierden datos importantes si no se dispone de una copia de seguridad.
Una contraseña decente: Aquí es donde todo comienza. Debes establecer una contraseña segura y ya estarás dando un paso en la dirección correcta.
Actualizaciones de seguridad: Esto es imprescindible si quieres proteger tu sistema de las vulnerabilidades. Cada actualización viene con un arreglo reciente que funciona para hacer tu sistema más seguro. Ubuntu te avisa cuando hay actualizaciones disponibles.
AppArmor: Este sistema de control de acceso limita el acceso a cada programa. Evita que el sistema tenga vulnerabilidades desconocidas. Lo hace implementando un buen comportamiento de la aplicación.
Todas estas funciones están disponibles para ti, sólo tienes que tomar la iniciativa para activarlas.
El cortafuegos
La herramienta de configuración predeterminada del firewall para Ubuntu es ufw. Desarrollado para facilitar la configuración del cortafuegos iptables, ufw proporciona una forma fácil de crear un cortafuegos basado en IPv4 o IPv6.
ufw por defecto está inicialmente desactivado. de la página de manual de la UFW:
“ufw no pretende proporcionar una funcionalidad completa de firewall a través de su interfaz de comandos, sino que proporciona una forma fácil de añadir o eliminar reglas sencillas. Actualmente se utiliza principalmente para cortafuegos basados en host. ”
Los siguientes son algunos ejemplos de cómo usar ufw:
En primer lugar, ufw debe estar habilitado. Desde un terminal, ingresa:
sudo ufw enable
Para deshabilitarlo:
sudo ufw disable
Para abrir un puerto:
sudo ufw allow 4662
Para ver el estado:
sudo ufw status
Gestión de usuarios
La gestión de usuarios es una parte crítica del mantenimiento de un sistema seguro. La gestión ineficaz de usuarios y privilegios a menudo hace que muchos sistemas se vean comprometidos. Por lo tanto, es importante que entienda cómo puede proteger su servidor mediante técnicas sencillas y eficaces de gestión de cuentas de usuario.
¿Dónde está root?
Los desarrolladores de Ubuntu tomaron la decisión de deshabilitar la cuenta administrativa de root por defecto en todas las instalaciones de Ubuntu. Esto no significa que la cuenta root haya sido borrada o que no se pueda acceder a ella. Sólo se le ha dado una contraseña que no coincide con ningún valor encriptado posible, por lo que no puede iniciar sesión directamente por sí mismo.
En su lugar, se anima a los usuarios a hacer uso de una herramienta llamada sudo para llevar a cabo las tareas administrativas del sistema. Sudo permite a un usuario autorizado elevar temporalmente sus privilegios usando su propia contraseña en lugar de tener que conocer la contraseña perteneciente a la cuenta de root. Esta metodología simple pero efectiva proporciona responsabilidad por todas las acciones del usuario, y le da al administrador un control granular sobre las acciones que un usuario puede realizar con dichos privilegios.
Si por alguna razón desea habilitar la cuenta de root, sólo tiene que darle una contraseña:
No se admiten las configuraciones con contraseñas de root.
sudo passwd
Sudo te pedirá tu contraseña, y luego te pedirá que proporciones una nueva contraseña para root como se muestra a continuación:
[sudo] password for username: (introduce tu contraseña) Enter new UNIX password: (introduce una nueva contraseña de root) Retype new UNIX password: (repite la nueva contraseña de root) passwd: contraseña cambiada exitosamente
Para desactivar la contraseña de la cuenta root, utiliza la siguiente sintaxis de contraseña:
sudo passwd -l root
Sin embargo, para desactivar la propia cuenta de root, utiliza el siguiente comando:
usermod --expiredate 1
Deberías leer más sobre Sudo leyendo la página de manual:
man sudo
Por defecto, el usuario inicial creado por el instalador de Ubuntu es un miembro del grupo “sudo” que se añade al fichero /etc/sudoers como usuario autorizado de Sudo. Si quieres dar a cualquier otra cuenta acceso completo de root a través de Sudo, simplemente añádelos al grupo de Sudo.
Añadir y borrar usuarios
El proceso para administrar usuarios y grupos locales es sencillo y difiere muy poco de la mayoría de los demás sistemas operativos GNU/Linux. Ubuntu y otras distribuciones basadas en Debian fomentan el uso del paquete “adduser” para la gestión de cuentas.
Para añadir una cuenta de usuario, utiliza la siguiente sintaxis y sigue las instrucciones para proporcionar a la cuenta una contraseña y características identificables, como un nombre completo, un número de teléfono, etc.
sudo adduser usuario
Donde “usuario” es tu nombre de usuario o el que quieres añadir.
Para eliminar una cuenta de usuario y su grupo principal, utiliza la siguiente sintaxis:
sudo deluser usuario
Al eliminar una cuenta no se elimina su respectiva carpeta de inicio. Recuerda, cualquier usuario que agregues más tarde con el mismo UID/GID que el propietario anterior tendrá acceso a esta carpeta si no has tomado las precauciones necesarias, puedes cambiar estos valores de UID/GID a algo más apropiado, como la cuenta root, y quizás incluso reubicar la carpeta para evitar conflictos en el futuro:
sudo chown -R root:root /home/usuario/ sudo mkdir /home/usuarios_archivados/ sudo mv /home/usuario /home/usuarios_archivados/
Para bloquear o desbloquear temporalmente una cuenta de usuario, utiliza la siguiente sintaxis, respectivamente:
sudo passwd -l usuario sudo passwd -u usuario
To add or delete a personalized group, use the following syntax, respectively:
sudo addgroup nombre-del-grupo sudo delgroup nombre-del-grupo
Para añadir un usuario a un grupo, utiliza la siguiente sintaxis:
sudo adduser username nombre-del-grupo
Seguridad del perfil de usuario
Cuando se crea un nuevo usuario, la utilidad adduser crea un nuevo directorio principal llamado /home/usuario siendo “usuario” el usuario que creas. El perfil por defecto está modelado a partir de los contenidos encontrados en el directorio de /etc/skel, que incluye todos los elementos básicos del perfil.
Si tu PC será el hogar de varios usuarios, debes prestar mucha atención a los permisos del directorio root del usuario para garantizar la confidencialidad. De forma predeterminada, los directorios de inicio de usuario en Ubuntu se crean con permisos de lectura/ejecución por regla general. Esto significa que todos los usuarios pueden navegar y acceder a los contenidos de los directorios de otros usuarios. Esto puede no ser adecuado para tu entorno.
Para verificar los permisos actuales del directorio root del usuario, utiliza la siguiente sintaxis:
ls -ld /home/usuario
La siguiente salida muestra que el directorio /home/usuario tiene permisos legibles para todo el mundo:
drwxr-xr-x 2 usuario usuario 4096 2007-10-02 20:03 usuario
Puedes eliminar los permisos de lectura general utilizando la siguiente sintaxis:
sudo chmod 0750 /home/usuario
Algunas personas tienden a usar la opción recursiva (-R) indiscriminadamente, que modifica todas las carpetas y archivos, pero esto no es necesario y puede producir otros resultados indeseables. Un enfoque mucho más eficiente sería modificar los permisos globales por defecto de adduser cuando se crean carpetas de inicio de usuario. Simplemente edita el archivo /etc/adduser.conf y modifica la variable DIR_MODE a algo apropiado, para que todos los nuevos directorios de inicio reciban los permisos correctos.
DIR_MODE=0750
Después de corregir los permisos del directorio utilizando cualquiera de las técnicas mencionadas anteriormente, verifica los resultados utilizando la siguiente sintaxis:
ls -ld /home/usuario
Los resultados que se muestran a continuación muestran que se han eliminado los permisos legibles para todo el mundo:
drwxr-x--- 2 usuario usuario 4096 2007-10-02 20:03 usuario
Resumiendo
Siempre recuerda eso de que aunque Ubuntu sea muy seguro, no es imbatible. El ransomware es una realidad y puede afectarnos. Sin embargo no debes de caer en una paranoia porque la probabilidad es baja, y más siguiendo las pautas que se han dado a lo largo de esta entrega.
- Usa contraseñas poderosas.
- Descarga software de la Tienda de Ubuntu o desde Synaptic.
- Si descargas desde un portal de internet, asegúrate de que sea de la página oficial.
- Habilita el cortafuegos.
- No ejecutes archivos adjuntos de correos electrónicos si no esperas nada.
- Evita en lo que puedas los repositorios PPA.
- Pon énfasis de que en el espacio de usuario haz lo que quieras. En el espacio de root no hagas nada sin conocer lo que haces.
- No ejecutes el navegador de archivos con la cuenta root, siempre a nivel de usuario.
Con estas sencillas premisas, tu Ubuntu será muy seguro. Son normas básicas que sirven para otros sistemas operativos, si bien es verdad que en GNU/Linux se necesita menos atención que en Windows, por ejemplo.
Aquí termina este curso de 10 entregas para recién llegados a Ubuntu. Si no eres usuario de esta distribución y usas otra como Mint, Elementary OS o Zorin, prácticamente te servirá todo porque las variaciones son pocas ya que hasta comparten los mismos comandos de terminal. Otras como Manjaro, Antergos, Mageia, aunque fáciles de usar, se diferencian bastante más en el tema de la instalación de paquetes, el cortafuegos, etc.
Te darás cuenta que Ubuntu es una plataforma maravillosa. Otra de la cosas que diferencian GNU/Linux de Windows es que disfrutas más de la experiencia ante un PC. Manejar este sistema operativo es emocionante y levanta pasiones debido al total control que tienes del sistema y a su filosofía libre y abierta.
Espero que lo hayas disfrutado.
Fuente: maslinux