Moss configura todos tus servidores Linux de manera uniforme siguiendo las mejores prácticas de la industria.

Cortafuegos

Todos los servidores administrados por Moss se encuentran tras un firewall que él mismo configura. Dependiendo del plan contratado y del proveedor cloud que utilices, Moss configurará el firewall nativo del proveedor o las reglas iptables equivalentes en cada servidor.

Firewall iptables

Moss bloquea todo el tráfico hacia tu servidor salvo el estrictamente necesario para su administración y el funcionamiento de los servicios que ejecuta. A continuación enumeramos el tráfico permitido:

  • SSH (tcp/22) desde cualquier dirección IP
  • HTTP (tcp/80) desde cualquier dirección IP
  • HTTPS (tcp/443) desde cualquier dirección IP
  • Métricas de monitorización (tcp/9100) desde cualquier dirección IP
  • ICMP (v4/v6) desde cualquier dirección IP
  • Tráfico local (p.ej. para que la aplicación web se conecte a la base de datos alojada en el mismo servidor vía localhost)

Firewall de proveedor

El firewall que ofrecen algunos proveedores cloud facilita la administración de aplicaciones multi-servidor complejas. Moss abstrae al usuario de los detalles internos y le proporciona una configuración segura y adaptada a su caso de uso. A continuación enumeramos el tráfico permitido:

  • SSH (tcp/22) desde cualquier dirección IP
  • HTTP (tcp/80) desde cualquier dirección IP
  • HTTPS (tcp/443) desde cualquier dirección IP
  • Métricas de monitorización (tcp/9100) desde cualquier dirección IP
  • MySQL (tcp/3306) desde servidores web del mismo workspace
  • Redis (tcp/6379) desde servidores web del mismo workspace
  • Memcached (tcp/11211, udp/11211) desde servidores web del mismo workspace
  • Beanstalk (tcp/11300) desde servidores web del mismo workspace
  • Tráfico local (vía localhost)

Lo anterior implica que los servicios internos de los que hacen uso tus aplicaciones (bases de datos, cachés, colas, etc) no están expuestos al exterior. Del mismo modo, las aplicaciones de un workspace no pueden interactuar con los servicios internos de otro workspace, protegiendo así los distintos entornos de tu propia organización.

SSH

Moss configura tu servidor para que siempre puedas acceder a él mediante SSH o subir contenido al mismo utilizando SFTP. Moss no despliega el servicio FTP debido a su falta de seguridad, pero puedes utilizar SFTP en su lugar.

Para evitar accesos no autorizados al servidor, Moss realiza las siguientes configuraciones adicionales para el servicio SSH:

  • Deshabilita el acceso como usuario root.
  • Deshabilita la autenticación con usuario/contraseña, forzando el uso de clave pública en su lugar. De esta forma Moss protege a tu servidor de ataques por fuerza bruta basados en diccionarios de contraseñas.

Usuarios

Moss añade dos usuarios con distintos privilegios a tu servidor:

  • moss: usuario privilegiado que puede ejecutar comandos como root utilizando sudo. Sólo el administrador de la cuenta de Moss tiene acceso como usuario moss al servidor (salvo que él mismo comparta su clave privada, claro).
  • dev: usuario no privilegiado con permisos suficientes para trabajar sobre los sitios web del servidor. Tanto el administrador como los colaboradores invitados a la cuenta de Moss tienen acceso como usuario dev. De esta forma los desarrolladores de un equipo pueden realizar su trabajo sin que interfieran con la configuración del sistema, pues no tendrán permisos para alterarla.

Actualizaciones de seguridad automáticas

Moss configura actualizaciones de seguridad desatendidas en todos los servidores que administra. Ésta es la forma más cómoda de que tus servidores tengan aplicados los últimos parches que solucionan vulnerabilidades en el software instalado. Tras cada actualización Moss te enviará una notificación por email o al canal de Slack de tu elección para que estés informado de los cambios que se han producido.

Moss sólo realiza automáticamente actualizaciones de seguridad. Estas actualizaciones provienen de los repositorios oficiales de Ubuntu y, en casos excepcionales, de PPAs con buen mantenimiento y soporte.

Superficie de ataque

A diferencia de otros productos, Moss sólo instala en cada servidor el software que realmente necesita. De esta forma minimiza la superficie de ataque disminuyendo así la probabilidad de sufrir una intrusión.

P.ej. si un servidor se destina exclusivamente a alojar bases de datos, dicho servidor no tendrá instalado Apache, Nginx, ni ningún otro servicio que no esté usando. Cualquier vulnerabilidad en estos servidores web no podrá usarse para atacar al servidor de base de datos.

Otro ejemplo: si un servidor web sólo aloja sitios estáticos, Moss no instalará el demonio php-fpm. Sólo al crear un sitio PHP se instalará el software necesario para el mismo.

HTTPS

Moss configura que tus sitios web se sirvan utilizando el protocolo seguro HTTPS de forma muy sencilla. Sólo tienes que indicar una de estas opciones al crear el sitio:

  • Proporciona tu propio certificado TLS. Si ya posees un certificado válido para tu web, sólo tienes que proporcionar a Moss el contenido del mismo y de la clave privada asociada. Moss configurará el sitio con dicho certificado.
  • Selecciona la opción de certificado automático con Let's Encrypt. Moss generará y renovará un certificado Let's Encrypt gratuito para tu web de forma automática.

Moss configura el sitio para redirigir hacia HTTPS a los usuarios que accedan por HTTP, prefiriendo así la versión segura del protocolo.

Contacto

Si detectas algún problema de seguridad o tienes cualquier duda acerca de cómo Moss gestiona la seguridad de tus servidores, no dudes en ponerte en contacto con nosotros a través de nuestro chat de soporte 😄

Did this answer your question?