Duda sobre seguridad de dispositivo USB

Todos los temas relacionados con la seguridad en Linux

Moderadores: doc, ps-ax

Responder
Nubec
Forista Nuevo
Forista Nuevo
Mensajes: 9
Registrado: Mié Abr 29, 2015 4:40 pm

Duda sobre seguridad de dispositivo USB

Mensaje por Nubec » Mié Abr 29, 2015 4:53 pm

Buenas a todos,

Me estoy montando un servidor en una tarjeta Radxa Pro con Lubuntu (Linaro) y me preocupa la seguridad. Soy nuevo en Linux así que estoy aprendiendo a base de tutoriales y prueba-error.

Ahora mismo ando con el tema de hacer backups, y se me ha ocurrido automatizarlos mediante crontab y guardarlo en un pendrive USB conectado a la tarjeta. Tanto los scripts como la carpeta donde monté el USB (/backup) tienen permiso sólo para root, pero veo aún permisos de lectura en la carpeta del USB y claro, no conviene.

¿Hay algún modo de montar el USB y que sólo sea accesible rwx para root?

Muchas gracias.
MetTxin
Forista Medio
Forista Medio
Mensajes: 332
Registrado: Mié Abr 27, 2011 11:32 am

Re: Duda sobre seguridad de dispositivo USB

Mensaje por MetTxin » Mié Abr 29, 2015 5:33 pm

Lo que no dices es qué sistema de ficheros tiene el pendrive, a lo mejor tienes alguno que no soporte el sistema de permisos de un Unix, ¿FAT?

También fíjate si al montar la unidad lo haces con permisos de usuario. Si quieres que sólo sea accesible para root ese pendrive tendrás que modificar el fstab para que únicamente root pueda montar esos dispositivos, y te quedará la cosa de que en otro ordenador siempre podrán montarla con los permisos que les dé la gana así que no sé hasta qué punto con eso ganas en seguridad. Si los datos no deben ser vistos por otros lo mejor es cifrarlos, de esa forma te aseguras que únicamente tú puedes leerlos y recuperarlos.

De todas formas no sé si un pendrive es el método más seguro para hacer backups, yo creo que resultaría mejor cualquier disco viejo que tengas por ahí, interno o externo, en el host o en la red local, da igual, y desde crontab haces una copia con rsync cada tanto tiempo (por ejemplo).
Nubec
Forista Nuevo
Forista Nuevo
Mensajes: 9
Registrado: Mié Abr 29, 2015 4:40 pm

Re: Duda sobre seguridad de dispositivo USB

Mensaje por Nubec » Mié Abr 29, 2015 6:32 pm

Hola MerTxin, gracias por responder.

Pues tienes razón, es FAT, y el fstab lo había configurado así.

/dev/sda1 /backup vfat defaults 0 0

Entonces el problema va a ser que no tiene el sistema de ficheros Unix. Sería una lástima tener que quitar el FAT porque al ser un pendrive tengo la flexibilidad de conectarlo a un windows y pasar archivos.

Sé que hacer los backups en un pendrive no es lo más ortodoxo, fíjate que el sistema operativo lo tengo en una microSD, mi intención es ocupar el menor espacio posible, y con el pendrive, el servidor me ocupa menos que una caja de cigarros. Al fin y al cabo es un servidor casero que no tendrá mucha carga de trabajo. Igualmente, la seguridad física no me importa porque nadie se va a colar en mi habitación, pero sí me preocupa qué ocurriría si alguien consigue colarse vía online, ya te digo, soy nuevo en esto de linux y ando bastante paranoico con el tema de la seguridad. Uso un único usuario (a parte de root), he cambiado todos los puertos, uso iptables, sftp, tengo instalado lo mínimo y actualizado a diario, y aun así todavía no me he atrevido a poner el servidor online.
MetTxin
Forista Medio
Forista Medio
Mensajes: 332
Registrado: Mié Abr 27, 2011 11:32 am

Re: Duda sobre seguridad de dispositivo USB

Mensaje por MetTxin » Mié Abr 29, 2015 7:22 pm

Pues en ese caso, si lo que te preocupa son los ataques por red y no los presenciales, yo me centraría en lo que estás haciendo, configurar bien todos los servicios que estén escuchando al exterior, y dejaría para otro momento la seguridad de los datos en el pendrive.

Si no me equivoco (que podría ser, el fstab de OpenBSD no es igual) con la línea que pones sólo root puede montar el dispositivo (debería aparecer "user" sino, creo) por lo que para hacer el backup siempre puedes -> montar -> backup -> desmontar, de esa forma sólo quien tenga la clave root puede acceder al pendrive (por red, digo). Ah, tampoco es muy aconsejable meter un sistema de ficheros tipo ext4 en un pendrive, en todo caso yo metería ext2, aunque esté en desuso, y si quieres compatibilidad pues deja el FAT, lo mejor casi, y no te preocupes mucho de los permisos que tengan las copias si son datos del /home del usuario lo que estás guardando.

Tal y como haces, es mejor centrarse en la seguridad en red, poner contraseñas fuertes y tener actualizados los servicios que estén expuestos. Si haces eso creo que puedes considerar tu pequeño servidor a salvo de la gran mayoría de ataques de bots y similares.

Si usas sólo sftp (y es para ti, no es público) estudia la opción de generar llaves RSA para acceder al servidor de forma segura (mucho más que con contraseña, mejor desactivar ese modo) y simple. Supongo que en eso es similar al ssh, no creo que te vaya a dar problemas.

Si tienes además otros servicios (web, mail o lo que sea) pues entonces vas a tener que trabajar bastante más, pero vamos, en principio un servidor casero así, bien actualizado, con lo mínimo, vigilando qué servicios corren hacia afuera y con contraseñas fuertes no debería dar mayores problemas.
Nubec
Forista Nuevo
Forista Nuevo
Mensajes: 9
Registrado: Mié Abr 29, 2015 4:40 pm

Re: Duda sobre seguridad de dispositivo USB

Mensaje por Nubec » Mié Abr 29, 2015 9:02 pm

Hola Metxin, muchas gracias de nuevo por responder.

Pues otra opción que estaba barajando es esa: montar -> backup -> desmontar, pero me quedaba la duda de si el script esperaba a que terminara el backup antes de seguir con la línea de desmontar, o lo iba a dejar a medias.

De todas formas, he quitado el pendrive y he conectado por USB un lector de microSD y he formateado en ext3 una tarjeta SD. Ahí sí me deja poner los permisos 700 a la carpeta y sus archivos para que root sea el único que pueda acceder. Parece que todo funciona bien, y los script se ejecutan sin problemas y hacen lo que tienen que hacer. Me voy a plantear prescindir de FAT y formatear un pendrive a ext3. Total, el backup es sólo de respaldo y dado el caso puedo instalar algún programa para leer sistemas de archivo Unix en Windows.

Miraré lo de las llaves RSA, creo que ya lo usé una vez para la contraseña del WIFI.

El servidor es más que nada para servir archivos html, php, mysql y poco más. O sea, un pequeño servidor web y sftp para subir los archivos desde el editor de código vía ssh.

Como dije, soy nuevo en esto de linux y he aprendido solo a base de mucho Google. Si te apetece y tienes curiosidad, en este hilo he colgado el manual casero que me he ido haciendo a medida que aprendía: instalacion/manual-casero-para-instalac ... 52834.html

Una vez más, gracias por responder.
MetTxin
Forista Medio
Forista Medio
Mensajes: 332
Registrado: Mié Abr 27, 2011 11:32 am

Re: Duda sobre seguridad de dispositivo USB

Mensaje por MetTxin » Mié Abr 29, 2015 9:39 pm

El script hace lo que tú le digas, si quieres que no desmonte si devuelve error la copia pues no desmonta. De todas formas si haces un script por líneas va línea a línea, siempre puedes meter condiciones dentro para asegurarte de que se cumplen bien los comandos. Yo creo que es la opción más acertada esa de montar->backup->desmontar, sobre todo teniendo ext3.

Pues si es sólamente para copiar archivos al servidor yo te aconsejo ssh a secas y usar scp o rsync mediante un script y llaves RSA, te ahorras configuración (la del ftp) y ya tienes así disponible una entrada segura a tu servidor mediante consola por el mismo precio. Más simple y un demonio menos corriendo.

Vigila la pareja php/mysql, a veces da sustos, sobre todo si tienes algún cms típico y no es php que hayas creado tú.

Ya le voy a echar un vistazo al tuto, saludos!
Nubec
Forista Nuevo
Forista Nuevo
Mensajes: 9
Registrado: Mié Abr 29, 2015 4:40 pm

Re: Duda sobre seguridad de dispositivo USB

Mensaje por Nubec » Mié Abr 29, 2015 10:51 pm

Gracias, me apunto lo que pones para mirarlo y hacer pruebas, aunque llevo tantos años trabajando con ftp que no sé yo si me saldría a cuenta cambiar de sistema.

Lo del php/mysql ya lo tengo controlado, son muchos años trabajando con ello y afortunadamente los cms ya son cosa del pasado para mí. El mysql será transición, puede que instale mariadb y postgresql, ya que estoy haciendo una app android que podrá guardar en todas esas bases de datos, y quiero hacer pruebas.

Nuevamente, gracias por la ayuda ;)
Responder
  • Similar Topics
    Respuestas
    Vistas
    Último mensaje