287 - Como mejorar la seguridad de tu ordenador Linux
Algunos consejos y trucos para mejorar la seguridad de tu ordenador Linux. Contraseñas en bios y grub, actualizaciones y limpieza y mas
Tu equipo es para utilizarlo, y en este sentido, lo normalmente funcionando, incluso durante días. Por supuesto, también lo tienes conectado a internet. Y además, en el caso de que sea un ordenador portátil, también te lo llevas de paseo, como si de una mascota se tratara. En cualquier caso, y de menos a mas, haciendo cualquiera de estas cosas, estas exponiendo tu ordenador, y todo su contenido al mundo exterior. De esta forma cualquiera puede hacerse con su contenido, con mayor o menor dificultad. Entonces ¿como mejorar la seguridad de tu ordenador Linux?
Lo primero que se me pasa por la cabeza, y sin lugar a dudas, la solución mas efectiva, es dejándolo en un lugar seguro, sin conexión a internet, apagado y si puede ser sin batería. Pero, claro, esta solución no es válida. Tener una herramienta de trabajo como la que tienes entre tus manos, y no poder utilizarla, es una verdadera lástima.
La cuestión es proteger tu equipo, mejorar la seguridad de tu ordenador Linux, para poner cuantas mas trabas mejor a cualquiera que intente acceder al mismo. Tendrás que tener cuidado con lo que haces, no sea que tu tampoco puedas acceder.
Como mejorar la seguridad de tu ordenador Linux
Como te decía en la introducción, impedir que alguien acceda a tu ordenador, es te diría que imposible, sin embargo, la cuestión es poner las cosas difíciles. En este sentido, te quiero contar algunas acciones que puedes tomar para mejorar la seguridad de tu ordenador Linux.
Acceder a tu equipo
El primer paso es impedir o dificultar el acceso a tu equipo. Para esto, ya tienes una contraseña, pero ¿que pasa con la bios? Si, la bios también la debes proteger con contraseña, para que nadie pueda acceder y modificar la configuración.
Otro punto de entrada es el USB. Como bien sabes, cualquiera puede poner un live USB y acceder a tu equipo. Esto es algo que tu has hecho en mas de una ocasión, aunque sea solo para instalar Ubuntu o cualquier otra distribución.
En este sentido, una buena política puede ser la de inhabilitar los puertos USB desde la bios cuando te llevas tu equipo de paseo. Esto, a mi en particular, me da mucha pereza, y es algo que no hago…
Contraseña en el grub
Una vez hayas iniciado el ordenador, lo siguiente que te encontrarás es el grub. Y este es otro punto crítico. Pero, es otro punto crítico que puedes proteger utilizando de nuevo una contraseña.
Cifrado
Lo que es completamente inexcusable es que no tengas tu disco duro cifrado. Esto es algo completamente imperdonable. Para esto, lo más cómodo, práctico y sencillo, es que durante tu instalación de Ubuntu, elijas la opción de cifrar la instalación.
Actualizaciones
Por supuesto que lo siguiente es que tengas tu sistema siempre actualizado. En este caso, no te tienes que preocupar como sucede con Windows, que lo hace cuando le da la gana, y además tarda lo que no está en los escritos, y para colmo, en mi caso, últimamente, ya me ha mostrado alguna que otra pantalla azul… Cosa que yo pensaba que estaba completamente erradicada. Nada mas lejos de la realidad. Ahí está.
En el caso de Ubuntu, o de cualquier otra distribución Linux, la actualización, lleva unos pocos minutos o incluso segundos, dependiendo con que frecuencia lo actualices. Al final, simplemente es tirar una linea en el terminal.
sudo apt update && sudo apt upgradeAhora bien, en el caso del kernel, mi recomendación es que lo instales desde los repositorios oficiales de Ubuntu, y que solo cuando te venga como actualización. No te recomiendo que te pongas la última versión, porque te puede suponer mas problemas que ventajas.
El maldito síndrome de Diógenes digital
Con esto del aumento de la capacidad de los discos duros, no tenemos problemas en tener decenas o cientos de aplicaciones instaladas. Aplicaciones que no utilizamos para nada. También, puede suceder, que tengas varias aplicaciones para lo mismo. Esto que puede no ser nada preocupante, porque al final te sobra espacio, si que puede llegar a serlo. Cualquier aplicación, paquete que tengas instalado, puede tener una vulnerabilidad.
Así, cuantas menos aplicaciones tengas menos posibilidades de vulnerabilidades podrás tener.
Servicios y puertos
Otro problema, son los servicios que tienes levantados. Por ejemplo, si trabajas en el desarrollo web, a lo mejor tienes levantado un servidor de bases de datos, como MariaDB, un Apache, por citarte unos ejemplos. Todos estos servicios están expuestos, y los puertos son puntos de entrada.
La solución es que cuando no los utilices, simplemente tumbas el servicio y cierras el puerto. O mejor todavía, esto lo haces con contenedores, ya sea Podman o Docker, y otro problema resuelto.
Malditas contraseñas
Si tu equipo lo utilizas solo tu, es muy probable que estés tentado de no ponerle contraseña, es decir, entrar directo. Mala idea. Tarde o temprano, te llevarás el portátil, o te encontrarás en una solución similar, y entonces te acordarás de la maldita contraseña.
Por supuesto aquí, tiene aplicación todo lo que ya sabes sobre las contraseñas. En el caso de tu equipo, además puedes forzar a que aquellos que la utilizan la renueven pasado un cierto tiempo, o incluso, evitar que se utilicen contraseñas débiles, o impedir que se utilice una contraseña que se haya utilizado en los últimos meses.
Aquí, además de utilizar políticas para conseguir contraseñas mas seguras, también puedes restringir el número de intentos y bloquear el acceso por un tiempo.
sudo
No hace falta que te diga, que acceder a tu equipo y trabajar como root no es buena idea, porque puedes cometer verdaderas escabechinas. Cuanto menos pongas en peligro tu equipo mejor que mejor. En este sentido, lo mas recomendable es que utilices sudo. Aunque yo cuando uso sudo sudo.
Puedes hacer que cualquier usuario utilice sudo con tan solo añadirlo al grupo. Y si esto te deja intranquilo, puedes crear una regla para que en caso de que alguien lo utilice el sistema te mande un mail.
Deshabilita los periféricos
Además del USB, es posible que tu equipo tenga mas conexiones, como puede ser thunderbold, firewire, u otras… La cuestión es que si no las utilizas, ¿para que quieres tenerlas habilitadas?. Pues eso, que todo aquello que no utilices, simplemente deshabilitalo. Por ejemplo, deshabilitar el firewire, es tan sencillo como ejecutar la siguiente instrucción,
echo "blacklist firewire-core" >> /etc/modprobe.d/firewire.confAppArmor
En el caso de Ubuntu, es posible restringir el uso de los recursos del sistema utilizando para determinadas utilizando AppArmor. Esto te permite restringir determinadas capacidades utilizando perfiles personalizados.
Decirte que esto del AppArmor, tiene mucha miga que contar. Que sepas que existe, para poder utilizarlo en un futuro.
Conclusión
Esto que te he contado, es a nivel de ordenador de escritorio. Para el caso del servidor, para tu VPS, le dedicaré un segundo podcast, para ver que opciones, tienes y como puedes mejorar la seguridad del mismo.
Espero que te haya gustado este nuevo episodio del podcast. Si puedes, te agradecería una valoración en iVoox y/o en Apple Podcast.
Imagen de portada de FLY:D
Muchas gracias por compartir estos tips y consejos para mejorar la seguridad del ordenador. Me ha gustado mucho el contenido
Muchas gracias a ti Lilian por comentar… se agradece mucho tu feedback