sobre aspectos de seguridad en servidores basados en sistemas UNIX. Los consejos y demostraciones realizadas durante la presentación no garantizan la completa seguridad de sus sistemas y es responsabilidad de quien administra dichos sistemas realizar un análisis de riesgos para implementar las medidas de seguridad adecuadas.
no fue manipulada o alterada por personas o procesos no autorizados. ▫ Confidencialidad: Asegurar el acceso a la información únicamente a aquellas personas con la debida autorización. ▫ Disponibilidad: El acceso a la información y los sistemas deben estar disponibles en el momento que se requieran. 6
aplicación que permite ejecutar un programa con los privilegios de seguridad de otro usuario ( root). gultij@Server$ sudo service apache2 stop gultij is not in the sudoers file. This incident will be reported.
rsa key pair. Enter file in which to save the key (/home/gultij/.ssh/id_rsa): Created directory '/home/gultij/.ssh'. Enter passphrase (empty for no passphrase): Enter same passphrase again:
con una capa concreto dentro de un cuarto sellado protegido por guardias armados … aún así tendría mis dudas ”. — Gene Spafford (Experto en Seguridad Informática) 23
de procesos que se ejecutan en el servidor. Cada servidor ejecutará distintos proceso de acuerdo a su propósito, por ejemplo, base de datos, aplicación web, telefonía, Email, DNS, etc. etc. etc.
iptables -A INPUT -p icmp -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT* iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -P INPUT DROP * Esta regla permite un ataque de BruteForce al servicio de ssh
archivos con un definción de expresiones regulares failregex = ^%(__prefix_line)s(?:error: PAM: )?[aA]uthentication (?:failure|error) for .* from <HOST>( via \S+)?\s*$ ^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from <HOST>\s*$ ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$ ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$ ^%(__prefix_line)sUser .+ from <HOST> not allowed because not listed in AllowUsers\s*$ ^%(__prefix_line)sUser .+ from <HOST> not allowed because listed in DenyUsers\s*$ ^%(__prefix_line)sUser .+ from <HOST> not allowed because not in any group\s*$ ^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$ ^%(__prefix_line)s(?:error: )?Received disconnect from <HOST>: 3: .*: Auth fail(?: \[preauth\])?$ ^%(__prefix_line)sUser .+ from <HOST> not allowed because a group is listed in DenyGroups\s*$ ^%(__prefix_line)sUser .+ from <HOST> not allowed because none of user's groups are listed in AllowGroups\s*$
gestionada como iniciativa de la Linux Foundation para expedir certificados de forma gratuita, automatizada y extremadamente sencilla en comparación con antiguos procesos.
disable_functions =exec,shell_exec,passthru,system,popen,curl_exec,curl_multi_exec,pars e_ini_file,show_source,proc_open,pcntl_exec #Limitar el acceso de PHP a los archivos de un directorio en especifico: open_basedir="/home/user/public_html"
de archivo enviado upload_max_filesize = 2M # Maximum 2M of file user can upload #Máximo tiempo de ejecución de cada script max_execution_time = 30 # seconds #Máximo tiempo de espera para recibir información max_input_time = 60 # seconds
de Wordpress. • Respalda regularmente. • Deshabilita el usuario admin. • No instales temas/plugins obsoletos y/o piratas. • Utiliza plugins de fuentes confiables. • No instales plugins que no necesitas. • Oculta los nombres de usuario. • Protege el directorio de Plugins y wp-admin. • Utiliza prefijo distinto de wp para las tablas. • Wordfence. • All-in-One Security.