Guía Hardening Instalación del Sistema

Aclaración

Antes de empezar a seguir o leer esta guía queremos dejar claro algunos conceptos y asuntos sobre ella.

Como su propio nombre indica es una GUÍA y en ella os guiaremos durante el proceso de hardening en vuestro sistema, pero en ocasiones ni pararemos a explicar detalladamente algunos contenidos, y esto es debido a que o bien ya se ha escrito sobre ello muy bien por parte de otras personas y compañeros, o el contenido sería tan amplio que sería casi interminable esta guía.

A lo largo de ella daremos alguna pequeña introducción sobre ciertos temas, que si ya conoces poco mas abra que contarte, pero además añadiremos enlaces a otros sitios o contenido propio si ya hemos escrito sobre ello en aprendiz de sysadmin.

Como ya indicamos en la introducción/presentación que hicimos, esta guía irá “sobre la marcha” y seguramente que entre capítulo y capítulo entremos en detalle en alguno de los conceptos o términos escritos para el que quiera pueda ampliar la guía o sencillamente leer sobre un asunto en concreto sin tener que buscar por toda la guía.

También quiero explicar porque decidí utilizar debian y la verdad es que lo discutimos antes de empezar la guía y por el tipo de instalación su estabilidad y posibles usos posteriores, tanto como servidor o equipo de escritorio, nos pareció la distribución más apropiada.

Sin más empecemos con nuestra guía y bienvenidos.

Introducción

Al iniciar un proceso de Hardening en nuestro sistema debemos tener en cuenta que se empieza desde el minuto -1, antes de empezar debemos saber que tipo de servidor vamos a utilizar, y si estará en una red con diferentes servidores, estarán virtualizados o utilizaremos el típico todo en uno, y todo esto aumentara o disminuirá los vectores de ataque, por lo que debemos planear y documentar todo lo que hagamos.

Otro punto importante es que ni vale cualquier tipo de imagen ISO, porque nuestro objetivo es reducir la superficie de ataque, y descargar un sistema operativo con servidor gráfico y posibles aplicaciones y herramientas innecesarias, ni será de ayuda precisamente, ni reducirá la superficie de ataque, por lo tanto necesitamos una imagen mínima o hacer una instalación por red.

De momento y sólo con esta decisión, ya hemos reducido el número de vulnerabilidades a la que estaremos expuestos, un buen comienzo.

Descarga

getdebian

En esta guía se utilizara la última versión estable de Debian: Debian 8.4 Jessie

Para obtener una imagen de Debian debemos ir a la siguiente url https://www.debian.org/distrib/netinst aquí podemos descargar dicha imagen que ocupara unos 280 megas (imagen pequeña para CD o memoria USB), como ves la diferencia en cuanto a tamaño con una imagen normal es importante.

En esta página además de la imagen iso también podemos hacernos con un manual de instalación para nuestra arquitectura, este manual nos puede ser de mucha ayuda si tenemos algún problema y en él se detallan muchos puntos sobre diferentes métodos de instalación, requisitos o el hardware soportado.

Instalación

installdebian

En nuestro caso la instalación en un principio es la misma que puedes realizar habitualmente, seleccionar idioma, teclado, nombre de la maquina, etc… pero en esta ocasión nos detendremos en 2 puntos importantes, el password superusuario y el nombre usuario y password.

Si queremos hacer bien un hardening éste es uno de los primeros pasos y más importantes, ya que no podemos confiar en un hardening en el que las contraseñas más importantes sean de bajo nivel, de esto hay mucho escrito en la red y nosotros ahora mismo no creemos que sea necesario repetir el mismo contenido, por lo que a continuación, y si no sabes como hacerlo, te recomendamos la siguiente lectura:

Aprende a gestionar tus contraseñas de la Oficina de Seguridad del Internauta (OSI).

Una vez definido el password para el superusuario y para el usuario normal, y si tenéis curiosidad por saber que tiempo se tardaría en romper por fuerza bruta dichas contraseñas, visitad la siguiente web, puede que después recapacitéis sobre la misma.
Por cierto, no olvides documentar la contraseña del superusuario y ponerla a buen recaudo.

Particionado y Cifrado

En debian podemos hacer el cifrado durante el proceso de instalación, mediante el uso de LVM y su cifrado, y aunque aquí no entraremos en detalle sobre LVM y las opciones de cifrado, si os dejare algún dato y enlace de interés.

LVM es un gestor de volúmenes lógicos con varias características importantes, como es poder redimensionar tanto los grupos como los volúmenes lógicos o moverlos entre otras muchas opciones, en el enlace que dejo a continuación tienes una descripción más detallada sobre LVM, y seguramente más adelante en otras entradas, trataremos como gestionar LVM en profundidad.

https://es.wikipedia.org/wiki/Logical_Volume_Manager

A la hora de realizar el particionado se nos ofrecerán varias opciones, tres son guiadas y una manual, dependiendo del uso que le vayamos a dar a la maquina podremos optar por una de las guiadas.

particionado

El siguiente paso será crear el LVM cifrado, si es la primera vez que lo haces recomiendo utilizar el modo guiado, de esta manera será mas fácil y además puedes ver como queda configurado para en otras ocasiones hacerlo manualmente, por la tanto toma nota para otra vez.

partilvm

El proceso es fácil, seleccionamos guiado – utilizar todo el disco y configurar LVM cifrado, para continuar y elegir el modo de particionar,  aquí también tendrás varias opciones nosotros elegimos la ultima, separar la partición /home, /var y /tmp pero dependiendo de tu nivel puedes elegir utilizar todo el disco, o solo el /home, ahora queda continuar y guardar el esquema de particionado , para después crear otra contraseña fuerte para el cifrado.

finallvm

El resultado como puedes ver en la imagen nos ha creado un particionado y cifrado de todo menos del /boot, y éste es un punto importante, si se hubiera cifrado el boot no arrancaría el sistema y por eso si nunca antes hiciste algo parecido, siempre es bueno hacerlo en modo guiado y ahorrarnos problema y disgustos.

Por otra parte comentar que al elegir este tipo de instalación guiada no podemos cambiar las opciones de cifrado, por lo cual el cifrado toma la opción por defecto que es un cifrado AES de 256bits, ahora queda continuar la instalación como haríamos habitualmente y reiniciar nuestra maquina.

Conclusiones

primerlogin

Aunque este tipo de instalación es muy sencillo, como puedes comprobar no podemos hacer mucho más en cuanto a opciones, pero para comenzar y empezar un hardening básico nos servirá, más adelante detallaremos en otras entradas más tipos de configuración avanzada, para que puedas subir el nivel de hardening hasta donde te atrevas o lleguen tus conocimientos.

En esta primera parte ya hemos tratado varios puntos importantes, como son documentar todo hagas para su posterior revisión, y tener controlado datos importantes,  para en un futuro poder utilizarlos entre otras muchas cuestiones, y por otra parte la importancia de las contraseñas, en esta instalación hemos utilizado tres y no tienen nada que ver una con la otra, una para el superusuario, otra para el usuario normal y una última para el cifrado, recordad e insistimos hasta la saciedad, ni pongas las mismas contraseñas en todos los sitios, y tenerlas a buen recaudo y protegidas, con este sencillo paso pero a la vez tan importante ya estamos poniendo el asunto más difíciles ante un intento de intrusión, un robo, o pérdida de un equipo que puede pasar hasta en los sitios que menos te imagines 😉

Resumiendo por puntos:

  • Instalación mínima OK
  • Contraseñas complejas y diferentes OK
  • Particionado y cifrado OK
  • Documentar todo OK

6 opiniones en “Guía Hardening Instalación del Sistema”

  1. Gracias por el tiempo que has dedicado y dedicarás a la guía, llevaba tiempo buscando una guía como ésta actual y redactada por alguien con conocimientos avanzados, ¡espero con ansias la siguiente entrada!

    1. Bienvenido Jordi y muchas gracias, espero que los siguientes capítulos te gusten igualmente, y además, aprovecharemos esta guía para ampliar contenido en otros aspectos sobre servidores y seguridad que esperemos sean de vuestro agrado.
      Un saludo.

  2. Estupenda guia. Lo que buscaba. Yo tengo VPS. He instalado debian 8 jessy. No se si esta cifrado… no se las particiones… si esta VLM. No creo que sea la instalacion minima. Desde el SSH podria reinstalar via comandos a instalacion minima que recomiendas? Gracias y adelante.

    1. Buenas Andres.
      Generalmente en los VPS solo puedes elegir que distro GNU\Linux o versión de Windows utilizar, aun así puedes cifrar tu partición con LUKS (https://gitlab.com/cryptsetup/cryptsetup) pero antes de hacer nada, consultaría a tu proveedor de VPS por posibles problemas. También te recomiendo que si no estas familiarizado con este proceso, lo hagas antes en una maquina virtual, y para proporcionar algo mas de seguridad, que leas este articulo de @n1mh en https://debianhackers.net/securizando-un-vps/ , donde además encontraras mucha más información.

      Un saludo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *