# Crear estructura de directorio para documentación HIPAA
mkdir -p /opt/hipaa/{risk-assessment,audit-logs,incident-response,backup-records,access-reviews}
chmod 700 /opt/hipaa

# Auditar usuarios con acceso a sistemas ePHI
# Listar todos los usuarios del sistema
awk -F: '$3 >= 1000 {print $1, $3, $6}' /etc/passwd

# Verificar que no hay cuentas compartidas
# Cada usuario debe ser único e identificable
getent passwd | awk -F: 'NR>1{print $1}' | sort | uniq -d

# Implementar bloqueo automático tras intentos fallidos
cat > /etc/security/faillock.conf << 'EOF'
# Bloquear cuenta después de 5 intentos fallidos por 30 minutos
deny = 5
unlock_time = 1800
fail_interval = 900
EOF

# Configurar PAM para usar faillock
# En /etc/pam.d/common-auth (Ubuntu) o /etc/pam.d/system-auth (CentOS)

# Configurar timeout de sesión SSH inactiva
cat >> /etc/ssh/sshd_config << 'EOF'
# Cerrar sesión SSH inactiva después de 15 minutos (HIPAA §164.312(a)(2)(iii))
ClientAliveInterval 900
ClientAliveCountMax 0
EOF

# Configurar timeout de sesión de bash para todos los usuarios
cat >> /etc/profile.d/hipaa-timeout.sh << 'EOF'
# Timeout de sesión HIPAA - 15 minutos de inactividad
TMOUT=900
readonly TMOUT
export TMOUT
EOF

# Configurar timeout para sesiones de screen/tmux
echo "idle-action-seconds=900" >> /etc/screenrc

systemctl restart sshd

# Crear grupos para diferentes niveles de acceso a ePHI
groupadd ephi-reader      # Solo lectura de ePHI
groupadd ephi-writer      # Lectura y escritura de ePHI
groupadd ephi-admin       # Administración de sistemas ePHI

# Configurar permisos en directorio de datos ePHI
mkdir -p /datos/ephi
chown root:ephi-admin /datos/ephi
chmod 2750 /datos/ephi

# Añadir usuarios a grupos apropiados
# usermod -aG ephi-reader usuario_clinico
# usermod -aG ephi-admin usuario_admin_ti

# Configurar ACLs para acceso granular
apt install acl  # Ubuntu/Debian
setfacl -m g:ephi-reader:r-x /datos/ephi
setfacl -m g:ephi-writer:rwx /datos/ephi
getfacl /datos/ephi  # Verificar ACLs

# Cifrado de disco completo con LUKS para particiones de datos ePHI
# ADVERTENCIA: Realizar en partición sin datos o en nueva instalación
# cryptsetup luksFormat /dev/sdb1
# cryptsetup luksOpen /dev/sdb1 ephi-datos
# mkfs.ext4 /dev/mapper/ephi-datos
# mount /dev/mapper/ephi-datos /datos/ephi

# Verificar estado de cifrado existente
lsblk -f | grep -E "crypto|luks"
cryptsetup status /dev/mapper/ephi-datos 2>/dev/null || echo "Verificar configuración LUKS"

# Cifrar archivos individuales de ePHI con OpenSSL
openssl enc -aes-256-cbc -pbkdf2 -in paciente-datos.csv -out paciente-datos.csv.enc
# Descifrar cuando sea necesario
# openssl enc -d -aes-256-cbc -pbkdf2 -in paciente-datos.csv.enc -out paciente-datos.csv

# Verificar que todas las conexiones usan TLS 1.2 o superior
# Para aplicaciones web con Nginx
cat > /etc/nginx/snippets/hipaa-ssl.conf << 'EOF'
# Configuración TLS para cumplimiento HIPAA
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305;
ssl_prefer_server_ciphers off;
ssl_session_timeout 1d;
ssl_session_cache shared:HIPAA_SSL:10m;
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;
EOF

# Deshabilitar versiones TLS antiguas en OpenSSL
sed -i 's/TLSv1 TLSv1.1//' /etc/nginx/snippets/hipaa-ssl.conf

# Verificar la configuración TLS
openssl s_client -connect localhost:443 -tls1_2 2>/dev/null | grep "SSL-Session"

# Configurar auditd para registro completo de accesos a ePHI
cat > /etc/audit/rules.d/hipaa.rules << 'EOF'
# Reglas de auditoría HIPAA §164.312(b)

# Registrar todos los accesos al directorio de datos ePHI
-a always,exit -F arch=b64 -S open,openat -F dir=/datos/ephi -F success=1 -k ephi-access
-a always,exit -F arch=b64 -S open,openat -F dir=/datos/ephi -F success=0 -k ephi-access-fail

# Registrar modificaciones de archivos ePHI
-a always,exit -F arch=b64 -S write,truncate,ftruncate -F dir=/datos/ephi -k ephi-modify

# Registrar eliminación de datos ePHI
-a always,exit -F arch=b64 -S unlink,unlinkat,rename,renameat -F dir=/datos/ephi -k ephi-delete

# Registrar cambios de permisos en ePHI
-a always,exit -F arch=b64 -S chmod,fchmod,chown,fchown -F dir=/datos/ephi -k ephi-permissions

# Registrar cambios de identidad (usuarios)
-w /etc/passwd -p wa -k hipaa-identity
-w /etc/shadow -p wa -k hipaa-identity
-w /etc/group -p wa -k hipaa-identity
EOF

augenrules --load
systemctl restart auditd

cat > /usr/local/bin/hipaa-audit-review.sh << 'EOF'
#!/bin/bash
# Revisión mensual de auditoría HIPAA §164.312(b)
FECHA=$(date +%Y%m)
REPORTE="/opt/hipaa/audit-logs/monthly-review-$FECHA.txt"

echo "=== Revisión de Auditoría HIPAA - $FECHA ===" > "$REPORTE"
echo "Generado: $(date)" >> "$REPORTE"

echo -e "\n--- Accesos a ePHI (últimos 30 días) ---" >> "$REPORTE"
ausearch -k ephi-access --start $(date -d '30 days ago' +%m/%d/%Y) 2>/dev/null \
    | aureport -f -i >> "$REPORTE"

echo -e "\n--- Modificaciones de ePHI ---" >> "$REPORTE"
ausearch -k ephi-modify --start $(date -d '30 days ago' +%m/%d/%Y) 2>/dev/null \
    | head -50 >> "$REPORTE"

echo -e "\n--- Intentos de acceso fallidos ---" >> "$REPORTE"
ausearch -k ephi-access-fail --start $(date -d '30 days ago' +%m/%d/%Y) 2>/dev/null \
    | head -50 >> "$REPORTE"

echo -e "\n--- Cambios de identidad ---" >> "$REPORTE"
ausearch -k hipaa-identity --start $(date -d '30 days ago' +%m/%d/%Y) 2>/dev/null \
    | head -50 >> "$REPORTE"

echo "Reporte guardado en: $REPORTE"
EOF
chmod +x /usr/local/bin/hipaa-audit-review.sh

# Script de backup cifrado para datos ePHI
cat > /usr/local/bin/hipaa-backup.sh << 'EOF'
#!/bin/bash
# Backup cifrado de ePHI - HIPAA §164.308(a)(7)(ii)(A)
TIMESTAMP=$(date +%Y%m%d_%H%M%S)
ORIGEN="/datos/ephi"
DESTINO="/backup/ephi"
CLAVE="/etc/hipaa/backup-key.txt"  # Clave de cifrado (proteger con permisos 400)
LOG="/opt/hipaa/backup-records/backup-$TIMESTAMP.log"

mkdir -p "$DESTINO" /opt/hipaa/backup-records

echo "Iniciando backup HIPAA: $TIMESTAMP" | tee "$LOG"

# Crear backup con tar y cifrar con OpenSSL
tar czf - "$ORIGEN" 2>>"$LOG" | \
    openssl enc -aes-256-cbc -pbkdf2 -pass file:"$CLAVE" \
    -out "$DESTINO/ephi-backup-$TIMESTAMP.tar.gz.enc"

# Verificar integridad del backup
sha256sum "$DESTINO/ephi-backup-$TIMESTAMP.tar.gz.enc" >> "$LOG"

# Verificar que el backup se puede descifrar y leer
TAMANO=$(stat -c%s "$DESTINO/ephi-backup-$TIMESTAMP.tar.gz.enc" 2>/dev/null || echo 0)

if [ "$TAMANO" -gt 0 ]; then
    echo "Backup completado exitosamente: $TAMANO bytes" | tee -a "$LOG"
else
    echo "ERROR: Backup fallido o vacío" | tee -a "$LOG"
    exit 1
fi

# Eliminar backups con más de 90 días
find "$DESTINO" -name "*.enc" -mtime +90 -delete
echo "Limpieza de backups antiguos completada" | tee -a "$LOG"
EOF
chmod +x /usr/local/bin/hipaa-backup.sh

# Programar backup diario
echo "0 2 * * * root /usr/local/bin/hipaa-backup.sh" > /etc/cron.d/hipaa-backup

# Script de prueba de restauración mensual
cat > /usr/local/bin/hipaa-restore-test.sh << 'EOF'
#!/bin/bash
# Prueba mensual de restauración HIPAA §164.308(a)(7)(ii)(D)
BACKUP_MAS_RECIENTE=$(ls -t /backup/ephi/*.enc 2>/dev/null | head -1)
CLAVE="/etc/hipaa/backup-key.txt"
DIRECTORIO_PRUEBA="/tmp/hipaa-restore-test-$(date +%Y%m%d)"

if [ -z "$BACKUP_MAS_RECIENTE" ]; then
    echo "ERROR: No se encontraron backups"
    exit 1
fi

mkdir -p "$DIRECTORIO_PRUEBA"
echo "Probando restauración de: $BACKUP_MAS_RECIENTE"

# Descifrar y extraer en directorio temporal
openssl enc -d -aes-256-cbc -pbkdf2 -pass file:"$CLAVE" \
    -in "$BACKUP_MAS_RECIENTE" | \
    tar xzf - -C "$DIRECTORIO_PRUEBA" 2>&1

if [ $? -eq 0 ]; then
    echo "EXITO: Restauración completada en $DIRECTORIO_PRUEBA"
    # Registrar prueba exitosa
    echo "$(date): Prueba de restauración exitosa - $BACKUP_MAS_RECIENTE" \
        >> /opt/hipaa/backup-records/restore-tests.log
else
    echo "ERROR: Fallo en la prueba de restauración"
fi

# Limpiar directorio de prueba
rm -rf "$DIRECTORIO_PRUEBA"
EOF
chmod +x /usr/local/bin/hipaa-restore-test.sh

# Script de detección y notificación de posibles brechas de ePHI
cat > /usr/local/bin/hipaa-breach-detect.sh << 'EOF'
#!/bin/bash
# Detección de posibles brechas de ePHI - HIPAA §164.400
LOG_ALERTA="/opt/hipaa/incident-response/alerts.log"
mkdir -p /opt/hipaa/incident-response

# Verificar accesos masivos no autorizados a ePHI
ACCESOS_FALLIDOS=$(ausearch -k ephi-access-fail --start today 2>/dev/null | grep -c "type=SYSCALL")

if [ "$ACCESOS_FALLIDOS" -gt 10 ]; then
    ALERTA="ALERTA HIPAA: $ACCESOS_FALLIDOS accesos fallidos a ePHI detectados hoy"
    echo "$(date): $ALERTA" >> "$LOG_ALERTA"
    # Notificar al responsable de HIPAA
    echo "$ALERTA" | mail -s "ALERTA: Posible brecha HIPAA en $(hostname)" [email protected]
fi

# Verificar transferencias masivas de datos ePHI
ARCHIVOS_COPIADOS=$(ausearch -k ephi-access --start today 2>/dev/null | \
    grep "proctitle" | wc -l)
if [ "$ARCHIVOS_COPIADOS" -gt 100 ]; then
    echo "$(date): ADVERTENCIA: Acceso masivo a ePHI - $ARCHIVOS_COPIADOS operaciones" \
        >> "$LOG_ALERTA"
fi
EOF
chmod +x /usr/local/bin/hipaa-breach-detect.sh
echo "*/15 * * * * root /usr/local/bin/hipaa-breach-detect.sh" > /etc/cron.d/hipaa-breach-detect

cat > /usr/local/bin/hipaa-risk-assessment.sh << 'EOF'
#!/bin/bash
# Evaluación de riesgos técnicos HIPAA §164.308(a)(1)
REPORTE="/opt/hipaa/risk-assessment/tech-risk-$(date +%Y%m%d).txt"
mkdir -p /opt/hipaa/risk-assessment

echo "=== Evaluación de Riesgos Técnicos HIPAA ===" > "$REPORTE"
echo "Fecha: $(date)" >> "$REPORTE"
echo "Sistema: $(hostname)" >> "$REPORTE"

# Verificar autenticación SSH
echo -e "\n[ACCESO SSH]" >> "$REPORTE"
grep -E "PasswordAuthentication|PermitRootLogin|PubkeyAuthentication" \
    /etc/ssh/sshd_config >> "$REPORTE"

# Verificar cifrado activo
echo -e "\n[CIFRADO DE DISCO]" >> "$REPORTE"
lsblk -f | grep -E "crypto|luks|dm-crypt" >> "$REPORTE" || echo "Sin cifrado detectado" >> "$REPORTE"

# Verificar firewall
echo -e "\n[FIREWALL]" >> "$REPORTE"
ufw status 2>/dev/null >> "$REPORTE" || iptables -L -n 2>/dev/null | head -20 >> "$REPORTE"

# Verificar actualizaciones pendientes
echo -e "\n[ACTUALIZACIONES PENDIENTES]" >> "$REPORTE"
apt list --upgradable 2>/dev/null | grep -c upgradable >> "$REPORTE"

# Verificar cuentas sin contraseña
echo -e "\n[CUENTAS SIN CONTRASEÑA]" >> "$REPORTE"
awk -F: '($2 == "" || $2 == "!") {print $1}' /etc/shadow >> "$REPORTE"

echo "Evaluación guardada en: $REPORTE"
EOF
chmod +x /usr/local/bin/hipaa-risk-assessment.sh

systemctl status auditd
auditctl -l | grep ephi  # Verificar que las reglas están activas
ausearch -k ephi-access -ts today  # Buscar eventos de hoy
# Si no hay reglas activas:
augenrules --load

# Verificar entrada en /etc/crypttab
cat /etc/crypttab
# Formato correcto: ephi-datos /dev/sdb1 /path/to/keyfile luks
update-initramfs -u  # Actualizar initramfs (Ubuntu)

# Verificar que el archivo de clave existe y tiene permisos correctos
ls -la /etc/hipaa/backup-key.txt
chmod 400 /etc/hipaa/backup-key.txt
# Probar cifrado manualmente
echo "test" | openssl enc -aes-256-cbc -pbkdf2 -pass file:/etc/hipaa/backup-key.txt

# Ajustar TMOUT en /etc/profile.d/hipaa-timeout.sh
# HIPAA no especifica un tiempo exacto, 15-30 minutos es razonable
sed -i 's/TMOUT=900/TMOUT=1800/' /etc/profile.d/hipaa-timeout.sh