Script JShielder Automated Hardening para servidores Linux

Share this…

JSHielder es una herramienta de código abierto desarrollada para ayudar a SysAdmin y a los desarrolladores a asegurar servidores Linux en los que implementarán cualquier aplicación o servicio web. Según los expertos en seguridad informática, esta herramienta automatiza el proceso de instalación de todos los paquetes necesarios para alojar una aplicación web y Endurecer un servidor Linux con poca interacción del usuario. La secuencia de comandos añadida recientemente sigue la Guía de referencia de CIS para establecer una postura de configuración segura para sistemas Linux.

linuxx

Esta herramienta es un script Bash que endurece la seguridad del servidor Linux automáticamente y los pasos que se siguen son:

  • Configura un nombre de host
  • Reconfigura la zona horaria
  • Actualiza todo el sistema
  • Crea un nuevo usuario de administrador para que pueda administrar su servidor de forma segura sin la necesidad de realizar conexiones remotas con root.
  • Ayuda al usuario a generar claves RSA seguras, por lo que el acceso remoto a su servidor se realiza de forma exclusiva desde su PC local y sin contraseña convencional.
  • Configura, optimiza y protege el servidor SSH (algunas configuraciones siguen a CIS Benchmark Ubuntu 16.04)
  • Configura reglas de IPTABLES para proteger el servidor de ataques comunes
  • Protege el servidor contra los ataques de Fuerza bruta mediante la instalación de un fail2ban de configuración
  • Detener Portscans bloqueando la intrusión IP a través de IPTABLES utilizando portsentry
  • Instalar, configurar y optimizar MySQL
  • Instalar el servidor web Apache
  • Instalar, configurar y asegurar PHP
  • Proteja Apache a través del archivo de configuración y con la instalación de los módulos ModSecurity, ModEvasive, Qos y SpamHaus
  • Instala RootKit Hunter
  • Asegura los archivos de configuración Root Home y Grub
  • Instala Mostrar para ayudar a detectar procesos maliciosos ocultos
  • Instala Tiger, un sistema de auditoría de seguridad y prevención de intrusiones
  • Restringir el acceso a los archivos de configuración de Apache
  • Deshabilitar compiladores
  • Crea el trabajo Daily Cron para las actualizaciones del sistema
  • Endurecimiento del kernel a través del archivo de configuración sysctl (Tweaked)

Otros pasos de endurecimiento

  • Se agregó la instalación de PHP Suhosin para proteger el código PHP y el núcleo de los defectos conocidos y desconocidos (Eliminado en Ubuntu 16. 04)
  • Uso de la función para la personalización de la ejecución del código
  • Menú de selección de distribución
  • Menú de selección de funciones
  • Menú de selección de implementación (LAMP, LEMP, Proxy inverso)
  • Implementación agregada de LEMP con ModSecurity
  • Añadida / tmp carpeta Endurecimiento
  • Se agregó la instalación de IDS de PSAD
  • Contabilidad de proceso agregada
  • Mejoras desatendidas agregadas
  • Se agregó MOTD y Banners para el acceso no autorizado
  • Deshabilitar la compatibilidad con USB para mejorar la seguridad (opcional)
  • Restrictive Default UMASK
  • Se agregaron pasos de endurecimiento adicionales
  • Auditd instalar
  • Sysstat instala
  • ArpWatch instala
  • Endurecimiento de los pasos siguientes CIS Benchmark
  • Asegura Cron
  • Deshabilita los sistemas de archivos no utilizados y los protocolos de red poco comunes
  • Configure las reglas de Auditd siguiendo el benchmark CIS (Ubuntu 16. 04)
  • Automatiza el proceso de configuración de una contraseña de Bootloader de GRUB
  • Asegura la configuración de arranque
  • Establece permisos de archivos seguros para archivos críticos del sistema

Nueva función

Separate Hardening Script siguiendo la Guía de referencia de CIS https://www.cisecurity.org/benchmark/ubuntu_linux/ (Ubuntu 16. 04)

Para ejecutar la herramienta

./jshielder.sh

Como usuario root

Si  tiene problemas, abre un nuevo problema para JShielder en Github.

Distro Availability

Ubuntu Server 14. 04LTS

Ubuntu Server 16. 04LTS

Después del lanzamiento final de Ubuntu 18. 04LTS, no se mantendrá Jshielder para Ubuntu 14. 04, dijeron los investigadores de seguridad informática. Se enfocará en las últimas 2 principales versiones de LTS.