aproximadament
Publicat el 12 de septiembre de 2019

Com muntar el servidor i securitzar la teva Raspberry Pi

Com muntar el servidor i securitzar la teva Raspberry Pi

Te'n recordes que en el passat post t'explicavem com muntar un servidor Raspberry Pi? Doncs allà no s'acaba la cosa. En aquesta ocasió t'explicarem com securitzar-lo. T'interesa la idea?

A l'hora de configurar els nostres dispositius de xarxa, resulta tan important configurar les parts més bàsiques del seu funcionament com la seva vulnerabilitat i seguretat davant d'agents externs.

Per tant, un cop vista la primera part de com configurar una Rasperry Pi, anem a veure la continuació del post on acabarem de configurar la nostra Raspberry com a servidor de fitxers interns i afegirem una capa de seguretat per evitar possibles hackejos.

Per a què poden hackejar-nos la nostra Raspberry?

harrison-broadbent-c3YpscwJb04-unsplash

  1. Una de les principals opcions sol ser per fer-la servir per minar cryptomonedes. Hackejant diverses Raspberrys es pot arribar a fer servir el seu poder de càlcul per a aquest fi.
  2. Un altre cas típic de hackeig és per fer un petit 'exèrcit' per atacar altres hosts. Al realitzar-lo amb dispositius de tercers aquest atac no deixa rastre del seu origen.
  3. Finalment, un altre dels casos és aprofitar una vulnerabilitat per entrar a la nostra xarxa interna. Si no tenim una bona seguretat, un atacant pot arribar fàcilment als servidors d'arxius i intentar instal·lar ransomware, obtenir documents o manipular la configuració.

Instal·lar SAMBA en Raspberry PI per compartir recursos

Samba és una implementació lliure del protocol d'arxius compartits de Microsoft Windows per a sistemes de tipus UNIX. D'aquesta manera, és possible que ordinadors amb Linux, Mac OS X o Unix es vegin com a servidors o actuïn com a clients en xarxes de Windows. Samba és un projecte de programari lliure que implementa el protocol d'arxius compartits de Windows per Sistemes operatius de tipus Unix.

Per instal·lar hem d'executar des del nostre terminal el següent comando:

sudo apt-get install samba samba- common - bin

Depenent de quines altres coses tinguem instal·lades a la Raspberry ens demanarà o no instal·lar paquets addicionals.

A continuació, el programari es descarrega i s’instal·la automàticament.

Un cop finalitzada la instal·lació realitzarem canvis en la configuració per adaptar-lo a les nostres necessitats. Primer farem una còpia de seguretat del fitxer de configuració per si trenquem alguna cosa.

sudo cp / etc / samba / smb.conf smb. backup

suo nano -w / etc / samba / smb.conf

En el fitxer de configuració editarem per indicar quin disc dur volem compartir en el nostre cas / mitjana / 64 GB

[pi 64 GB]

comment = USB Share

path = / mitjana / 64 GB

writeable = Yes

create mask = 0777

directory mask = 0777

browseable = Yes

validesa users @ users

force user = pi

Per desar l'arxiu amb els canvis, s’ha de prémer la tecla Ctrl i alhora la lletra O

Per sortir de l'editor hem de prémer la tecla Ctrl i la tecla X al mateix temps.

Un cop sortim de l'editor hem d'afegir l'usuari PI al grup d'usuaris de SAMBA per poder accedir al recurs compartit. Per a això introduïm el següent comando:

suo smbpasswd -a pi

Per confirmar hem d'introduir dues vegades la contrasenya. Un cop realitzat l'usuari s'afegirà al grup.

luca-bravo-XJXWbfSo2f0-unsplash

Securitzar la nostra Raspberry

Per defecte Raspberry fa servir l'usuari PI. Per seguretat és millor crear-ne un de nou i desactivar l'usuari pi.

D'aquesta manera es crearà un nou compte i es generarà un directori pel nostre compte (tipus / home / nom usuari)

Un cop creat el compte d'usuari hem de canviar la contrasenya. Per definir-la introduïm el següent comando:

$ Sudo passwd nom deusuario

També és recomanable canviar la contrasenya de l'usuari root, introduint una contrasenya complexa. Per canviar el password de l'usuari root farem servir el següent comando:

$ Sudo passwd root

Finalment desactivarem el compte per defecte de l'usuari Pi. Per fer-ho hem d'introduir el següent comando al terminal:

$ Sudo passwd - lock pi

Ara, si estem accedint per ssh, ja podem desconnectar-nos de la Raspberry i la connexió amb el nou compte d'usuari i contrasenya.

Canviar port SSH Raspberry PI

Una altra mesura de seguretat molt senzilla de realitzar i de vital importància és canviar el port SSH de la nostra Raspberry. Per això, hem d'editar el fitxer / etc / ssh / sshd_config

Com en passos anteriors, si voleu es pot fer un backup del fitxer per seguretat. Es realitzaria de la següent manera:

sudo cp / etc / ssh / sshd_config smb_config_backup

Un cop fet el backup, des del terminal executarem com a root el següent comando:

nano / etc / ssh / sshd_config

Dins del fitxer de configuració veurem que en una de les primeres línies apareix:

Port 22

Canviarem el 22 per un altre número que serà el nou port. Aquest número ha de ser superior a 1024.

I en el nostre cas posem per exemple el 80 22, la línia quedaria:

Port 80 22

Tanquem l'editor i guardem

A continuació, reiniciem el servei SSH per aplicar la nova configuració:

/ Etc / rc.d / ssh restart

A partir d'aquest moment en Putty haurem de posar el port 8022 per accedir a la nostra Raspberry. 

raspberry pi-1 

Instal·lar Fail2ban

La finalitat d'instal·lar fail2ban és atacs de força bruta que qualsevol pugui generar sobre la nostra Raspberry Pi.


Què és un atac de força bruta? Un atac de força bruta consisteix bàsicament en tractar d’aconseguir la clau d'inscripció provant totes les combinacions possibles fins a trobar la correcta. Aquests mètodes no són molt eficients ja que requereixen molt de temps per provar combinacions. Tot i això, solen basar-se en combinacions possibles d'un diccionari, on normalment estan les contrasenyes més habituals i genèriques.

Per poder evitar aquest tipus d'atac, utilitzarem fail2ban. Fali2Ban és un programa que   escaneja automàticament els logs   de la nostra Raspberry Pi i   baneja les IPs que considera malicioses. El programari per exemple considera maliciosa una IP que ha realitzat diversos intents d'accés amb error de contrasenya. És possible configurar els llindars, per a indicar a partir de quants intents es considera IP maliciosa i quant temps durarà el bloqueig.

Per instal·lar introduirem el següent comand al terminal:

sudo apt-get install fail2ban

Començarà el procés d'instal·lació de fail2ban a la nostra raspberry:  

raspberry-pi-2

Un cop instal·lat, com hem comentat anteriorment, procedirem a configurar-la per parametritzar les eines de bloqueig.

Anem a configurar el llindar perquè banegi les IPs durant 30min quan intenten accedir 3 vegades amb una contrasenya errònia.

Fail2ban escaneja el fitxer / var /log/auth.log aplicant el filtre / etc / fail2ban / filter.d / ssh.conf.

Modificarem la configuració des de l'arxiu   / Etc / fail2ban / jail.conf.

únicament modificant els paràmetres de temps de durada del bloqueig i nombre d'intents per activar el bloqueig. Així i tot, es poden realitzar moltes configuracions addicionals.

El fitxer de configuració quedaria així:

ignoreip = 127.0.0.1/8

bantime = 1800

maxretry = 3

[apatxe]

enabled = true

[Ssh-ddos]

enabled = true

[Pure-ftpd]

enabled = true

Si vols comprovar si fail2ban està funcionant correctament, podem introduir el següent comando:

cat / var /log/fail2ban.log

Un cop realitzats tots els canvis i configuracions, tindràs llesta la teva Raspberry Pi funcionant amb total seguretat.

taylor-vick-M5tzZtFCOfs-unsplash

Sabem que la sèrie de post sobre la configuració de la Raspberry és extensa, així que pren-te el teu temps i torna a llegir el post les vegades que sigui necessari.

 

Etiquetes: Telecomunicacions

Articles Relacionats

Com muntar el servidor i securitzar la teva Raspberry Pi

Te'n recordes de com es securitzava un servidor amb Raspberry Pi? Això és el que et vam portar en el passat post. Doncs avui et presentarem les novetats de VMWare vSphere 6.7. ...

( de lectura )

Topics: Telecomunicacions

Com muntar el servidor i securitzar la teva Raspberry Pi

En l'anterior post vam parlar del pas tecnològic cap endavant que s'ha fet amb l'Edge Computing, i en aquesta ocasió ens endinsarem en com muntar un servidor Raspberry Pi. ...

( de lectura )

Topics: Telecomunicacions