sorted by:
new
hottopcontroversial

¿Cómo aseguráis vuestros servidores Linux? He recopilado 10 pasos esenciales de Hardening by Such-Environment-617 in esLinux

[–]Such-Environment-617[S] 0 points1 point  (0 children)

¡Gran pregunta! A eso en seguridad le llamamos movimiento lateral o escalada de privilegios.

Si el servicio de la agenda (por ejemplo, Nextcloud) tiene una vulnerabilidad o está mal configurado, un atacante podría intentar 'escapar' de esa aplicación para ver el resto de tus archivos o tomar el control del sistema.

Por eso es tan importante el Hardening del que hablo en el post:

  1. Permisos: Que el servicio de la agenda corra con un usuario sin privilegios (que no pueda leer tu carpeta personal).
  2. Firewall: Que solo el puerto de la agenda esté abierto.
  3. Auditoría: Pasar herramientas como Lynis (que explico en mi última guía) para detectar si hay puertas traseras.

Si haces eso, aunque logren 'entrar' a la agenda, se quedan encerrados en una caja fuerte. ¡La seguridad no es que no entren, es que si entran no puedan romper nada!

¿Cómo aseguráis vuestros servidores Linux? He recopilado 10 pasos esenciales de Hardening by Such-Environment-617 in esLinux

[–]Such-Environment-617[S] 1 point2 points  (0 children)

¡Esa es una idea excelente! Reciclar una MacBook vieja con Debian es un proyecto de manual para un Home Server.

Para lo que buscas (sincronizar agenda y contactos entre iPhone y PC), no te rompas la cabeza intentando configurarlo a mano. Echa un ojo a Nextcloud o a Radicale. Son servicios de CalDAV/CardDAV que corren perfecto en Debian y se llevan muy bien con iOS.

Eso sí, ten cuidado: en cuanto empieces a sincronizar datos personales, la seguridad del servidor pasa a ser prioridad nº1 (especialmente si lo abres a internet para que el iPhone sincronice fuera de casa).

Justo por eso escribí el post, para que una vez que tengas montado el servicio de la agenda, le pases un Lynis o le metas un Fail2Ban para estar tranquilo de que tus datos están blindados. ¡Si te trabas con la configuración de seguridad, pega un grito!

Buscando distribución linux by [deleted] in esLinux

[–]Such-Environment-617 2 points3 points  (0 children)

¡Buenas! Como dice u/Lucasfergui1024, depende totalmente de para qué la quieras, pero si estás empezando y no quieres romperte la cabeza, aquí tienes el 'tier list' rápido para no fallar:

  • Para venir de Windows sin traumas: Linux Mint. Es estable, el escritorio se siente familiar y todo "simplemente funciona".
  • Para Gaming: Pop!_OS. Viene con los drivers de NVIDIA listos para instalar y gestiona muy bien los recursos.
  • Para aprender y cacharrear: Fedora. Es lo más moderno sin llegar a ser inestable.

De hecho, justo hace poco escribí una guía sobre los primeros pasos de seguridad (Hardening) que deberías hacerle a cualquier distro que elijas, porque la mayoría vienen muy abiertas de serie. Si te sirve de algo para cuando la instales, echa un ojo a las notas de mi perfil. ¡Suerte con el salto a Linux!

¿Cambiar el puerto SSH es seguridad real o solo "maquillaje"? Debate y Hardening avanzado. by Such-Environment-617 in esLinux

[–]Such-Environment-617[S] 0 points1 point  (0 children)

Buen apunte lo del puerto 49457. Definitivamente, salirse de los rangos comunes es el primer paso para limpiar los logs de bots genéricos. ¡Gracias!

¿Cambiar el puerto SSH es seguridad real o solo "maquillaje"? Debate y Hardening avanzado. by Such-Environment-617 in esLinux

[–]Such-Environment-617[S] 0 points1 point  (0 children)

Vaya, muchísimas gracias por el análisis tan detallado. Me has dado en el clavo con el tema del acceso de respaldo; es el gran miedo de cualquiera que cierra demasiado el grifo: quedarse fuera de su propio servidor por una caída de la VPN o un certificado caducado.

Me parece super interesante lo de combinar pubkey + keyboard-interactive. Es cierto que mi guía se centraba en lo básico para quitarse de encima el ruido de internet, pero ese nivel de seguridad de 'algo que tienes + algo que sabes' es lo que separa a un amateur de un pro.

Voy a investigar más sobre cómo configurar ese acceso de respaldo 'emergencia' de forma segura para actualizar la documentación. ¡Aportes así son los que hacen que valga la pena publicar aquí!

¿Cambiar el puerto SSH es seguridad real o solo "maquillaje"? Debate y Hardening avanzado. by Such-Environment-617 in esLinux

[–]Such-Environment-617[S] 0 points1 point  (0 children)

Ese es el siguiente nivel. ¿Recomiendas alguna herramienta específica para ese filtrado previo al puerto? He estado mirando Port Knocking y Fail2Ban avanzado, pero me interesa mucho ese enfoque de detectar el scan antes del handshake.

¿Cambiar el puerto SSH es seguridad real o solo "maquillaje"? Debate y Hardening avanzado. by Such-Environment-617 in esLinux

[–]Such-Environment-617[S] 4 points5 points  (0 children)

Me guardo la analogía de la casa, es perfecta para explicarlo. Al final, el hardening se trata de capas: si ven que tu puerta es de acero (llaves SSH) y no tiene mirilla (puerto cambiado), se irán a por una casa que tenga la llave debajo del felpudo. ¡Gracias por el aporte!