[19/05/2022] Llevo utilizando el escritorio Linux desde que el gran debate sobre el escritorio era entre C Shell y Bash. Nunca he sentido la necesidad de un programa antivirus para Linux. Pero eso no quiere decir que pensara que podía prescindir de la seguridad del escritorio o del servidor Linux. Ni mucho menos. Aunque utilizo programas de terceros como los que aparecen a continuación, confío en las buenas prácticas de seguridad para asegurar mi sistema.
Eso sí, en los últimos años hemos visto un enorme aumento del malware para Linux. Según la empresa de seguridad Crowdstrike, el malware para Linux aumentó un 35% en el 2021 en comparación con el 2020. Antes de que se rasgue las vestiduras tenga en cuenta que la gran mayoría de estos ataques no se dirigen a servidores Linux o instancias en la nube. En su lugar, según Crowdstrike, XorDDoS, Mirai y Mozi, las mayores familias de malware basadas en Linux, van tras la fruta madura de los dispositivos de la Internet de las cosas (IoT, por sus siglas en inglés).
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Eso no significa que sus servidores no estén bajo ataque. Lo están. Por ejemplo, LemonDuck, una popular red de bots de minería de criptomonedas, tiene como objetivo Docker en los sistemas Linux para acuñar dinero digital, y está remando por el estanque de la nube en busca de víctimas.
Si mira detrás de la reciente avalancha de titulares "¡Linux es peligroso!", encontrará el mismo estribillo una y otra vez. En la raíz del problema de seguridad se encuentra una configuración errónea, una falla al parchear un agujero de seguridad conocido desde hace tiempo o, francamente, un trabajo de administración de sistemas incompetente. Como ejemplo de esto último, un ataque que requiere root antes de poder funcionar ignora el elefante en la habitación de que si su atacante tiene privilegios de root ya está completamente comprometido.
Conceptos básicos de seguridad en Linux
Antes de que pueda asegurar algo, necesita conocer sus fundamentos de seguridad. Para ello, recurra a clases en línea como Linux Security Fundamentals de la Fundación Linux; Linux Security and Hardening, The Practical Security Guide de Udemy; y Red Hat Security: Linux in Physical, Virtual, and Cloud.
Debería mirar los libros de seguridad de Linux y las guías en línea. Algunos de los mejores son:
También hay sitios de noticias de seguridad en línea que debe observar. La mejor fuente para esto es la página de avisos de productos de seguridad de Red Hat. Aunque gran parte de ella es específica de Red Hat Enterprise Linux (RHEL), Red Hat también cubre temas de seguridad que importan a todas las distribuciones de Linux para empresas. Red Hat también hace el mejor trabajo de las principales distribuciones al informar sobre las correcciones de seguridad tan pronto como sea posible.
Otro recurso importante es la lista de correo oss-security para los informes y debates sobre el software de seguridad de código abierto.
Asegurar Linux
Una vez que tenga los fundamentos claros, puede trabajar en el bloqueo de sus sistemas Linux con las herramientas integradas más avanzadas de Linux. La más importante es SELinux.
SELinux es un conjunto de parches de Linux y herramientas de usuario que añaden seguridad de control de acceso obligatorio (MAC, por sus siglas en inglés) al sistema operativo. Defiende el sistema operativo bloqueando cualquier aplicación pirateada o que se comporte mal, impidiendo que cause daños a los datos o a otras aplicaciones. Pero, y esto es importante, el enfoque de seguridad fundamental de SELinux es restringir todo a menos que se permita explícitamente. Esto es exactamente lo contrario del enfoque de seguridad estándar de Linux, el control de acceso discrecional (DAC, por sus siglas en inglés), que permite todo a menos que esté explícitamente prohibido.
Con la seguridad DAC tradicional de Linux, el usuario root es omnipotente, para bien o para mal. Cada proceso se ejecuta bajo un usuario y un grupo. Por ejemplo, el proceso httpd del servidor web Apache se ejecuta como el usuario apache bajo el grupo apache. Así, el proceso httpd tiene acceso a todos los archivos y directorios de Apache. Si es crackeado, el proceso httpd hackeado puede acceder, modificar y destruir todos los archivos que pertenecen a Apache.
O, como dice Tom Cameron, formador técnico senior de Amazon Web Services (AWS) y experto en SELinux, con Linux ordinario, "le damos la pistola y ahí tiene el pie". En resumen, SELinux es estupendo para asegurar los sistemas, pero hay que conocerlo bien antes de desplegarlo. Los problemas más comunes con SELinux ocurren cuando se despliega mal.
Los mejores programas de protección de puntos finales de Linux
Una vez que se ha dominado todo esto, es el momento de mirar el software para puntos finales de Linux. Estos programas detectan y eliminan el malware, identifican las vulnerabilidades del sistema y evitan los ataques. Aquí están los mejores disponibles en la actualidad.
Chkrootkit: Chkrootkit es una herramienta popular y gratuita para buscar rootkits. Busca firmas conocidas en los binarios del sistema. Puede ejecutarse bajo demanda o mediante cron. El programa también ofrece un modo experto que va más allá de las firmas de los rootkits y, en su lugar, busca cadenas sospechosas (chkrootkit -x).
El programa se compone de un largo y detallado script de shell que llama a una serie de otras herramientas que proporciona el paquete (por ejemplo, chkdirs y chkproc). Otra herramienta gratuita y popular de rootkit, Roolkit Hunter, ya no se actualiza. Si todavía la usa, deje de hacerlo. Es hora de encontrar un sustituto.
ClamAV: ClamAV, la herramienta antivirus gratuita y de código abierto, es muy popular. Detecta troyanos, virus, malware y otras amenazas maliciosas. Funciona en la línea de comandos, aunque también está disponible una interfaz gráfica, ClamTk.
ClamAV utiliza el enfoque de las firmas de virus, algo anticuado, para encontrar archivos peligrosos. Utiliza una herramienta independiente, freshclam, para mantener sus firmas actualizadas. Puede escanear archivos comprimidos y archivados, así como archivos normales.
Con las amenazas más avanzadas de hoy en día, no es tan útil como lo fue en su día, pero sigue siendo bueno para detectar los virus más antiguos y el malware que sigue sus pasos.
Nessus: Nessus es un escáner de vulnerabilidades profesional y serio. Comenzó como una herramienta gratuita y de código abierto, pero eso cambió en el 2005. En la actualidad, solo es gratuito para educadores, estudiantes y personas que se inician en la ciberseguridad. Esta edición solo puede utilizarse con un máximo de 16 sistemas con dirección de protocolo de Internet (IP). La licencia de la versión empresarial, Nexus Pro, cuesta 3.390 dólares por una licencia anual.
Nessus permite identificar y corregir rápidamente las vulnerabilidades del sistema y centrar la atención en los parches que faltan, los descuidos de configuración y las fallas de software. Funciona a través de una interfaz de usuario nítida, basada en la web y fácil de usar.
Sophos Antivirus (SAV): Por ahora, sigue habiendo una versión gratuita de Sophos Antivirus (SAV), pero ya no se mantiene tan actualizada como su primo basado en servicios, Sophos Central Anti-Virus para Linux versión 10. Ambas versiones utilizan archivos de firmas para detectar y tratar los virus en sus máquinas Linux. También detecta los virus ajenos a Linux que puedan estar almacenados en sus servidores Linux, donde podrían propagarse a sus computadoras macOS y Windows.
Lynis: Lynis es una herramienta de auditoría de seguridad de código abierto para Linux, macOS y sistemas basados en Unix. Proporciona tanto pruebas de cumplimiento (por ejemplo, con HIPAA e ISO 27001) como de endurecimiento del sistema. Lynis proporciona advertencias y muchas sugerencias para el endurecimiento de la seguridad, junto con enlaces que puede seguir para obtener más información sobre cada tema.
Microsoft Defender for Endpoint on Linux: ¡Qué ironía! Microsoft Defender for Endpoint on Linux de Microsoft es un buen programa antimalware y antivirus. ¿Quién lo hubiera pensado hace cinco años? Como su nombre indica, funciona conjuntamente con la familia Microsoft Defender for Endpoint. También cuenta con capacidades de detección y respuesta de puntos finales (EDR).
Aunque hace un buen trabajo de persecución de virus para todos los sistemas operativos; sin embargo, esta versión del programa está pensada para servidores Linux, no para computadoras de escritorio. Este programa sería una excelente adición para cualquier empresa que dependa de servidores Linux y computadoras de escritorio Windows.
Nexpose: Nexpose Vulnerability Scanner de Rapid7 funciona identificando los servicios activos de sus máquinas, los puertos abiertos y las aplicaciones en ejecución. Una vez hecho esto, comprueba si hay vulnerabilidades en los servicios y aplicaciones conocidos. Además de descubrir estos problemas, también proporciona una clasificación de los riesgos, un análisis del impacto y un informe y mitigación de las amenazas. Suele instalarse como un dispositivo de red independiente. La interfaz de usuario es sencilla, fácil de usar y sin complicaciones.
Nexpose es excelente para su uso en grandes redes. Puede configurarse para utilizar motores de escaneo distribuidos para obtener informes fácilmente escalables. El precio del programa varía en función del número de activos que se protejan. La edición Community es gratuita durante todo un año. Eso le dará tiempo más que suficiente para ver si funciona bien para su empresa.
¡Proteja ese pingüino!
Su mejor protección de Linux comienza con el uso de las herramientas existentes de Linux para establecer un sistema de seguridad sólido. Todo lo demás es secundario. Dicho esto, existen programas útiles para proteger sus puntos finales. Debería utilizarlos. Una vez más, todo comienza con el despliegue y la administración de Linux de forma responsable.
Basado en el artículo de Sandra Henry-Stocker (CSO) y editado por CIO Perú