7. Asegurar Servicios¶
7.1. ¿De qué va este tema?¶
Se trata de asegurar servicios. Es decir, resolver las siguientes cuestiones:
¿Cómo garantizo la disponibilidad del servicio?
¿Cómo garantizo la confidencialidad en el intercambio de datos?
¿Cómo garantizo la integridad de los datos?
Recuerda repasar lo visto en:
7.2. Clases¶
Le dedicaremos unas 8 sesiones de clase. En realidad se repasa rápidamente algunos conceptos que se ven en el modulo de Seguridad y Alta disponibilidad, concretándolo en los servicios vistos este trimestre. Se usarán dos estrategias:
Uso de certificados X509 para asegurar HTTP (necesito autoridad certificadora)
Uso de SSH para transferencia de archivos segura
7.2.1. Asegurar un Servicio¶
Repaso conceptos:
Asegurar equipo (HW / SW / Red). TCP/IP no es seguro (y no pasa nada)
Asegurar el servicio (Capa Aplicación). Protocolo TLS
Asegurar el canal de conexión (transferencia y acceso)
Identificación (certificados) y encriptado (protocolos seguros)
No existe el sistema 100% seguro, por lo tanto:
Actualiza (update)
Monitorea (logs)
Del Sistema o vía journalctl
De cada servicio
Dos Estrategias:
Estrategia Certificados (X.509v3 RFC 5280): Con AC (certificación externa). Para servicios públicos de acceso
Estrategia SSH: Sin AC (pero con infraestructura PKI). La más utilizada para acceder (autenticarse) y transferir archivos.
Actividad: asegurando tu servidor y tus servicios
¿Qué servicios públicos hay en tu servidor?
¿Quien puede entrar?
¿Quien está conectado y quien fue el último que se conectó?
¿Cómo se puede autenticar un usuario a tu máquina?
Actualiza el sistema (ahora)
Programa el sistema para que se actualice de forma automática (crontab)
Revisa el Log de SSH
Revisar los logs, usando journalctl
7.2.2. Obtener Certificados¶
Letsencrypt : la CA automatizada (buena, bonita y barata)
Instala CertBot (lo usarás en modo standalone)
Apaga servidor (si está en puerto 80). Hay otras opciones también.
Solicita un certificado (para un dominio o varios) (certonly –standalone)
Comprueba la validez (renovar cada 90 días) (certificates / renew)
Actividad. Obtener Certificados X.509
¿Qué versión de certbot estás utilizando?
¿Qué certificados están instalados?
¿Dónde están los certificados?
¿Cuándo van a caducar?
Crea un certificado para tu dominio (en modo standalone) (-d)
Revisa el contenido de la parte pública del certificado
Revisar el contenido de la parte privada del certificado
7.2.3. Instalación servicio HTTPs¶
Virtual Hosts (un servidor, varios servicios):
IP-based: misma IP, diferentes servicios (puertos)
Name-based: diferentes dominios en un servicio
Ejemplos de Configuraciones ( VirtualHost Examples )
Configurar el Servidor : http, https o ambos. En el caso de https:
¿Está activado el módulo ssl? (vía a2enmod o enlace simbólico)
¿En qué puerto va a escuchar? (WKP: 443)
¿Qué servidor (virtual host) va a tener activado SSL/TLS? (p.ej default-ssl.conf)
¿Qué certificados vas a utilizar? (LetsE: Certificado + Clave privada), o certificado CA + Certificado dominio + Clave Privada)
Comprobar. Certificación de Seguridad (Uso de SSLabs . )
Actividad. Instalar el servicio HTTPs
Instala https en tu servicio público ( Official How-to )
Comprueba acceso http
Comprueba acceso https
¿Están abiertos los puertos del firewall?
¿Puedes ver los detalles de tu certificado?
Comprueba el nivel de seguridad (ojo que todo es relativo): Uso de SSLabs .
7.2.4. Instalación servicio SFTP¶
Opciones con la transferencia de archivos
FTP/S (ftp + certificados + tls). Problema de configuración de puertos
SFTP (sobre ssh). Más sencillo (un sólo puerto) y potente
¿ Cual es mejor ?
Configurar un Servicio SFTP / How to setup SFTP :
Configura los usuarios:
Crear un grupo de usuarios ftp (p.ej sftpusers)
Añade usuarios (SIN shell, con home en directorio ftp y en el grupo de acceso)
Decide (y comprueba) el acceso (o claves compartidas o con contraseña).
Configura los directorios:
El directorio raíz (p.ej /srv/ftp)
Directorios de usuarios (p.ej /srv/ftp/user1 , /srv/ftp/user2, etc)
Asigna los permisos adecuados (usuario y grupo sftpusers) en cada directorio. Revisa con atención
Configura el sistema ftp dentro de SSH.
Hazlo con mucha atención (para no quedarte sin acceso remoto)
Decide la forma de autenticación (ideal con claves compartidas)
Uso de un cliente SFTP ( comandos )
Actividad. Transferencia de Archivos segura (sFTP, scp, rsync)
Repaso sobre el tema Servicio de Transferencia de Archivos . Repasa scp y rsync.
Configura un servidor público de transferencia de archivos sFTP con los siguientes criterios:
Raíz: /srv/ftp
Usuarios user1, user2 y user3
Grupo: sftpusers
Deberás comprobar que te puedes conectar en modo cliente y:
Ver la ayuda
Ver los archivos de tu directorio
Cambiar de directorio
Descargar un archivo
Subir un archivo
Crear una carpeta
Desconectarte
7.2.5. Archivos sobre HTTPs (WebDAV)¶
Transferencia de Archivos sobre HTTPs: WebDAV
Configurar un servidor WebDAV usando Apache