Inspección de seguridad en servidores dedicados

Inspección de seguridad en servidores dedicados


La seguridad es de suma importancia en Internet hoy en día. Por eso prestamos especial atención a la seguridad de cada servidor para proporcionar tranquilidad a nuestros clientes. Todos los servidores de HostDime se someten a una inspección de seguridad de diez puntos cuando se construyen.

Punto 1: Comprobación de la versión del kernel. El kernel de Linux es el programa central del sistema operativo Linux. Comprobamos siempre la versión del kernel para cerciorarnos que no hay vulnerabilidades explotables conocidas. Si se descubre alguna vulnerabilidad del kernel, la actualizaremos de inmediato y nos pondremos en contacto con usted para programar un reinicio.

Punto 2: Comprobación de la configuración de PHP. Hay varios ajustes de PHP que recomendamos se des-habiliten en servidores que no los requieren:

"allow_url_fopen". Esta configuración permite a PHP tratar cualquier URL como si fuera un archivo. Esto representa un riesgo de seguridad para ciertas aplicaciones PHP que no aseguran adecuadamente las funciones include y fopen, la mayoría de las aplicaciones no requieren allow_url_fopen por lo que recomendamos sea desactivada (especialmente para los servidores que ejecutan PHP4).

"allow_url_include". Esta configuración fue introducida en PHP5.2. Tener "allow_url_include" deshabilitado puede permitir a los usuarios de PHP5.2 activar con seguridad "allow_url_fopen" si es necesario para una aplicación. Casi ninguna aplicación PHP requiere que "allow_url_include" esté habilitado, por este motivo, recomendamos que "allow_url_include" esté siempre deshabilitado.

"register_globals". Esta configuración permite que las variables globales de PHP se establezcan en tiempo de ejecución a través de una URL. Tenerlo habilitado podría permitir a los atacantes modificar variables arbitrarias de PHP. Esto puede conducir a inyecciones de SQL, ejecución de código arbitrario y otras vulnerabilidades para aplicaciones vulnerables de PHP. Por lo general, recomendamos que deshabilite "register_globals".

Además de estos tres ajustes de PHP, también recomendamos inhabilitar ciertas funciones vulnerables de PHP. Hacerlo reduce la eficacia de los shells y otros malware basados en PHP. La lista de funciones que generalmente recomendamos que los usuarios inhabiliten es la siguiente:
dl, exec, shell_exec, system, passthru, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, escape, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid

Punto 3: Comprobación del conjunto de reglas de apache mod_security. Apache mod_security es un cortafuegos (firewall) de software que analiza peticiones entrantes de HTTP para exploits conocidos. Mantenemos un conjunto de reglas interno para muchos exploits conocidos. Siempre comprobamos que el conjunto de reglas más reciente este instalado en un servidor antes de su entrega. Opcionalmente, podemos configurar su servidor para actualizar diariamente su conjunto de reglas para asegurarnos de que su servidor siempre esté usando nuestro último conjunto de reglas.

Punto 4: Comprobación de la configuración de CSF/LFD. CSF/LFD es una suite de cortafuegos (firewall) de software que soporta la detección y prevención automatizada de ataques de fuerza bruta, seguimiento de procesos, protección contra inundaciones SYN y una amplia gama de otras funciones de seguridad automatizadas. Instalamos y configuramos CSF/LFD en todos nuestros servidores Linux estándar de forma predeterminada.

Punto 5: Comprobación de los binarios del sistema. Revisamos las versiones de los paquetes binarios del sistema de su servidor (como BIND, apache, udev, etc.) para asegurarse de que estén actualizadas y no sean susceptibles a ninguna vulnerabilidad conocida.

Punto 6: Opciones de montado de la partición de configuración. Cambiamos la configuración de las particiones para reducir el riesgo de ataques basados en el sistema de archivos, así como reducir la sobrecarga de E/S.

Punto 7: Deshabilitar servicios típicamente no necesitados. Inhabilitamos los servicios que no se utilizan comúnmente para garantizar la seguridad del servidor.

Punto 8: Implementar configuraciones iniciales centradas en la seguridad. Implementamos configuraciones iniciales centradas en seguridad para MySQL, Exim, cPanel, FTP, SSH, PHP.

Punto 9: RKHunter. RKhunter es un programa diseñado para escanear su servidor para detectar rootkits conocidos y detectar los binarios del sistema modificados. Instalamos RKHunter e inicializamos su base de datos de estado.

Punto 10: BusyBox. Instalamos BusyBox y tomamos medidas para asegurar su disponibilidad incluso si alguien realiza chmod/chown recursivamente en /, sea accidentalmente o no.