Espere por favor
[FELINUX]

Recomendaciones de seguridad para un VPS

Los servidores privados virtuales (o VPS por su sigla en inglés) se han convertido en una excelente alternativa para las empresas que desean llevar sus servicios y aplicaciones a la nube reduciendo los costos asociados a la compra y mantenimiento de servidores físicos. Sin embargo, una vez puesto en marcha, un servidor virtual tiene prácticamente las mismas consideraciones de seguridad que un servidor físico. Dentro de los aspectos a tener en cuenta para reforzar la seguridad en este tipo de máquinas podemos mencionar los siguientes:

Acceso mediante SSH

El secure shell o intérprete de comandos seguro es un protocolo por medio del cual se accede mediante una conexión cifrada a la línea de comandos de Linux de manera remota. El simple hecho de permitir el acceso a la línea de comandos hace que debamos tomar todas las precauciones del caso para evitar accesos no deseados con los cuales se pueda ejecutar código malicioso o explotar aplicaciones vulnerables que pongan en riesgo la estabilidad del sistema y la información alojada en él. Acciones preventivas como restringir el acceso directamente con el usuario root, evitar contraseñas débiles, habilitar la autenticación con llave privada en lugar de contraseñas e instalar aplicaciones para bloquear intentos de acceso por fuerza bruta son algunas de las prácticas recomendables para mitigar el riesgo de una intrusión al sistema.

Actualizaciones de seguridad

Las distribuciones de Linux en su mayoría y particularmente aquellas que se encuentran disponibles al momento de preconfigurar y ordenar un servidor virtual, cuentan con sistemas de manejo de paquetes de software que permiten instalar de manera muy sencilla y segura las actualizaciones del sistema operativo. Es altamente aconsejable realizar esta actividad al tener acceso por primera vez al servidor virtual antes de instalar cualquier aplicación nueva y luego hacerlo de manera periódica o incluso configurar el sistema para que dichas actualizaciones sean instaladas de forma automática.

Implementación de firewall

Aunque algunos de los proveedores de servidores virtuales ofrecen dentro de su panel de control herramientas para la protección de las máquinas adquiridas, es recomendable implementar un firewall o cortafuegos con el cual se cierren todos los puertos y posteriormente se abran solamente aquellos puertos que estén asociados a los servicios a los que realmente se requiere acceder de manera remota directa, incluso si es posible, con acceso únicamente desde direcciones IP específicas.

Aplicaciones innecesarias

Es importante abstenerse de instalar o en su defecto de ejecutar aplicaciones o servicios que no vayan a ser utilizados en el servidor, no solamente por reducir el consumo innecesario de recursos sino también por evitar dejar puertas abiertas sobre las cuales no se tiene un control permanente. Una forma de prevenir ataques si no se quiere desinstalar la aplicación es asegurarse de que no atienda peticiones en la o las direcciones IP públicas del servidor, ya sea por medio de los archivos de configuración de la misma aplicación o con reglas específicas a nivel de firewall.

Revisión de permisos

La gestión apropiada de permisos para carpetas y archivos juega un papel muy importante en la seguridad de un servidor. En ningún caso debemos irnos por la vía fácil de habilitar todos los permisos simplemente por pereza o desconocimiento tanto de los comandos relacionados como de los riesgos y las consecuencias que puedan traer el hecho de establecer de manera incorrecta los permisos de carpetas y archivos. Cada servicio o aplicación requiere la definición de permisos específicos y en ocasiones la asignación de usuarios y grupos especialmente creados para su ejecución, por lo cual se sugiere consultar la documentación correspondiente para ello.

Uso de FTP seguro

Es muy común tener servidores a los cuales se accede a través del FTP, por ejemplo, para actualizar el código fuente de aplicaciones y páginas web. Cuando se hace uso de este servicio los datos son transferidos en texto plano, lo cual facilita la tarea a posibles atacantes de interceptar el tráfico y capturar nombres de usuario y contraseñas con los cuales tendrá acceso al servidor. La mejor manera de evitarlo es utilizar el FTP seguro o SFTP, el cual forma parte del ya mencionado SSH y para el que varios clientes de FTP tienen soporte incluido, además de existir clientes específicos  para ello como WinSCP para Windows. Incluso los gestores de archivo de Linux como Dolphin y Nautilus tienen soporte incorporado para este protocolo.

Monitoreo permanente

La seguridad de un servidor no solamente está en la configuración adecuada de los servicios y aplicaciones instaladas sino también en tareas preventivas como el monitoreo permanente del sistema. Algunos de los métodos más comunes para el monitoreo del sistema consisten en la implementación de aplicaciones que envían periódicamente por correo electrónico información recopilada acerca del comportamiento y el estado de la máquina, las aplicaciones web que de una manera muy gráfica por medio de un navegador presentan el estado de diversos recursos y servicios, y por supuesto el acceso a la linea de comandos desde la cual, con una gran variedad de aplicaciones podemos tener acceso a información de las últimas conexiones al sistema, intentos fallidos y exitosos de autenticación, consumo de recursos como CPU, memoria y disco duro, los procesos en ejecución, las conexiones activas desde y hacia el servidor, entre otros aspectos.