Seguridad en los Servidores

Verificación de la versión del kernel

El kernel de Linux es el núcleo del sistema Linux. Siempre comprobamos su versión del núcleo para asegurarnos de que no hay vulnerabilidades explotables conocidas. Si se descubren las vulnerabilidades del kernel, lo actualizaremos de inmediato y nos pondremos en contacto con usted para programar un reinicio.

Comprobar la configuración de PHP

Hay varias configuraciones de PHP que se recomienda estar deshabilitadas en los servidores que no requieren de estas.

• "Allow_url_fopen" Esta configuración permite a PHP tratar cualquier URL como si fuera un archivo. Esto supone un riesgo de seguridad para ciertas aplicaciones PHP que incluyen declaraciones fopen. La mayoría de las aplicaciones no requieren "allow_url_fopen" y le recomendamos encarecidamente que este se desactivará (especialmente para servidores con PHP 4).
  
  
• "Allow_url_include" Esta configuración fue introducida en PHP5.2. Tener "allow_url_include" deshabilitada puede permitir a los usuarios habilitar de forma segura "allow_url_fopen" si es necesario por una aplicación. Casi ninguna de las aplicaciones PHP requieren que "allow_url_include" este habilitado. Por esta razón le recomendamos que "allow_url_include" siempre este desactivada.
  
  
• "Register_globals" Esta configuración permite que las variables globales de PHP ajustarse en tiempo de ejecución a través de una URL. Tenerlo habilitado podría permitir a los atacantes modificar las variables de PHP de forma arbitraria. Esto puede llevar a inyecciones SQL, la ejecución de código malicioso y otros exploits para aplicaciones PHP vulnerables. En general, recomendamos que "register_globals" se mantenga desactivada.
  
  
• Además de estas tres configuraciones de PHP, también recomendamos que ciertas funciones de PHP vulnerables sean inhabilitadas. De este modo, se reduce el malware basado en la eficacia de shell PHP y otros códigos maliciosos basados en PHP. La lista de funciones que generalmente recomendamos a los usuarios desactivar es la siguiente:
  dl, exec, shell_exec, sistema de tránsito, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, fuga, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid
  

Comprobación de conjunto de reglas

Apache mod_security es un software de firewall que analiza las solicitudes HTTP entrantes para ataques conocidos. Mantenemos un conjunto de reglas internas para muchos exploits conocidos. Comprobamos siempre para garantizar que el último conjunto de reglas está instalado en el servidor antes de su despliegue. Opcionalmente, se puede configurar el servidor para actualizar diariamente su conjunto de reglas para asegurarse de que su servidor siempre usa la última version.

Comprobación de la configuración CSF/LFD

CSF / LFD es una software de seguridad que soporta la detección automática de la fuerza bruta, la prevención, el seguimiento de procesos, la protección contra inundaciones SYN y una amplia gama de otras características de seguridad automatizadas. Instalamos y configuramos CSF / LFD en todos nuestros servidores estándar de Linux por defecto.

Comprobación de archivos binarios del sistema

Auditamos versiones de los paquetes de sistema binarios de su servidor (por ejemplo, BIND, apache, udev, etc) para asegurarnos de que están al día y no es vulnerable a cualquier exploits conocido.

Configuración de partición en Opciones de montaje

Cambiamos la configuración de las particiones para disminuir el riesgo de ataques basados en el sistema de archivos, así como reducir la sobrecarga de E/S.

Deshabilitar los servicios innecesarios

Desactivamos los servicios que no son de uso general para garantizar para contribuir a garantizar la seguridad del servidor.

Implementar una configuración de seguridad centrada

Desplegamos las configuraciones de seguridad centrada de MySQL, Exim, Cpanel, FTP, SSH, PHP

Escaneo Rkhunter

Rkhunter es un programa diseñado para escanear su servidor de rootkits conocidos y detectados binarios del sistema modificado. Instalamos rkhunter e inicializar la base de datos del estado.

Disponibliadad BusyBox

Instalamos BusyBox y tomamos medidas para asegurar su disponibilidad, incluso si alguien haría chmod/chown recursivamente en la raíz (/), ya sea accidental o no.