🇪🇸 ¿Tu servidor está protegido o has dejado la puerta principal abierta?

:es: Traducción al español de Is your server secure or did you leave your front door open? por Rodrigo [RODRI].

Publicado por VRITS en Cardano Journal, el 7 de Septiembre de 2020.


5dc4cdf5e4ccc0a6c34043e4c82e57ba

En nombre de SPOCRA, 1476 nodos relays fueron puesto a prueba el 5 de Septiembre de 2020 con un simple principio básico de seguridad.

Razones para la prueba

El número de stake pools aumenta día a día, y además de la documentación oficial hay muchos lugares que detallan cómo construir un stake pool, o incluso proporcionan guías y herramientas para hacerlo. Un número creciente de stake pools está siendo construido por personas sin o con conocimientos limitados de administración de sistemas Linux. Sin embargo, la tarea de un operador de stake pool no termina después de construir un stake pool. El operador debe implementar las mejores prácticas para proteger los nodos. Cuando un nodo es hackeado, el público en general podría pensar que Cardano es hackeado y esto podría perjudicar todo el esfuerzo de marketing que se está poniendo en Cardano, y por lo tanto dañar el ecosistema de Cardano.

La administración remota de los servidores Linux se lleva a cabo en general usando sesiones SSH. Los hackers saben muy bien todo esto y por lo tanto intentarán iniciar sesión usando SSH o intentarán atacar al daemon del SSH que se ejecuta en el servidor. Ahora algunos operadores podrían decir que han construido medidas de seguridad adicionales para evitar que su sistema sea hackeado. Les pido a estos operadores que den un vistazo a los problemas de seguridad que se han encontrado en openSSH en el pasado.

La forma de probar

Una simple máquina virtual de Linux fue desplegada en un proveedor de servicios en la nube, provista de una dirección IP pública, y con el paquete jq instalado en el servidor. Las direcciones IP y los registros DNS fueron extraídos y deducidos de la lista de relays públicos que mantiene Cardano. Con el uso de un archivo batch y el paquete nc, cada dirección IP y registro DNS fue probado para ver si era posible conectarse al puerto del SSH. Cada servidor que permitía la conexión se ponía en un archivo de texto. No se hicieron intentos de conexión o de ataque al puerto del SSH.

Resultados

La lista de relays públicos tenía un total de 1624 nodos, tras la correspondiente deduplicación quedaban 1476 direcciones IP y registros DNS. 405 nodos relays admitieron la conexión a su puerto del SSH, lo que equivale a casi el 27,5% de todos los nodos relays.

Mejores prácticas

  • Mantén tu servidor actualizado e instala al menos las actualizaciones de seguridad de forma regular.
  • Si no usas SSH para administrar tu servidor porque usas una consola física, entonces apaga el daemon del SSH.
  • Sólo permite que las direcciones IP de confianza se conecten al puerto del SSH de tu nodo en el dispositivo periférico (tu router en casa o en la oficina o el firewall de tu proveedor de servicios en la nube).
  • Sólo permite que las direcciones IP de confianza se conecten al puerto del SSH de tu nodo usando el firewall del servidor Linux.
  • Deshabilita el inicio de sesión SSH para la cuenta root.
  • Deshabilita el nombre de usuario y la contraseña de inicio de sesión del SSH.
  • Limita la cantidad de inicios de sesión SSH simultáneos al número que realmente se utiliza + 1.
  • Usa un par de llaves pública y privada RSA con un tamaño de clave de 4096 bits para iniciar sesión.
  • Protege la llave privada RSA con una contraseña fuerte.
  • Elimina todas las llaves relacionadas con Cardano de tu nodo relay. Un nodo relay no necesita ninguna de ellas.

Mejores prácticas opcionales

  • Usa un paso o un servidor de salto para administrar tus nodos.
  • Usa un servidor VPN separado para acceder a tu servidor de salto o de paso.

Continúa…

Repetiremos esta prueba del puerto de vez en cuando y esperamos sinceramente que la próxima vez todos los nodos de retransmisión tengan sus puertos SSH cerrados para las direcciones IP públicas no confiables.

1 Like