Endurecimiento de Servidores Linux: Guía Completa
Introducción
El endurecimiento de servidores Linux es el proceso crítico de asegurar un sistema Linux reduciendo su superficie de ataque e implementando múltiples capas de controles de seguridad. En el panorama actual de amenazas, donde los ciberataques son cada vez más sofisticados y automatizados, un servidor correctamente endurecido puede marcar la diferencia entre la continuidad del negocio y brechas de datos catastróficas.
Esta guía completa proporciona a administradores de sistemas, ingenieros DevOps y profesionales de seguridad un enfoque sistemático para endurecer servidores Linux. Ya sea que estés gestionando un solo VPS o una infraestructura empresarial, implementar estas medidas de seguridad reducirá significativamente tu exposición al riesgo y garantizará el cumplimiento de los estándares de seguridad de la industria.
El endurecimiento de servidores no es una tarea única sino un proceso continuo que requiere evaluación regular, actualizaciones y adaptación a las amenazas emergentes. Esta guía sigue los principios de defensa en profundidad, implementando múltiples capas de seguridad para que si un control falla, otros permanezcan en su lugar para proteger tus sistemas.
Comprendiendo el Panorama de Amenazas
Vectores de Ataque Comunes
Los servidores Linux modernos enfrentan numerosas amenazas de múltiples fuentes:
Ataques de Fuerza Bruta: Los bots automatizados escanean continuamente Internet intentando obtener acceso SSH mediante adivinación de contraseñas. Estos ataques pueden generar miles de intentos de inicio de sesión por día contra servidores expuestos.
Explotación de Vulnerabilidades: Las vulnerabilidades de software sin parchear siguen siendo uno de los vectores de ataque principales. Los atacantes escanean activamente sistemas que ejecutan software desactualizado con exploits conocidos.
Escalada de Privilegios: Una vez que los atacantes obtienen acceso limitado, intentan explotar configuraciones incorrectas o vulnerabilidades del kernel para obtener privilegios de root.
Malware y Rootkits: Las amenazas persistentes avanzadas despliegan malware sofisticado diseñado para mantener acceso a largo plazo mientras evaden la detección.
Ataques DDoS: Los ataques de denegación de servicio distribuido pueden saturar los recursos del servidor, haciendo que los servicios no estén disponibles para usuarios legítimos.
Ataques a la Cadena de Suministro: Los paquetes de software o dependencias comprometidos pueden introducir vulnerabilidades directamente en tu infraestructura.
Evaluación de Riesgos
Antes de implementar medidas de endurecimiento, comprende tu perfil de riesgo específico:
- Sensibilidad de Datos: ¿Qué tipo de datos procesa o almacena tu servidor?
- Requisitos de Cumplimiento: ¿Qué marcos regulatorios aplican a tus operaciones?
- Disponibilidad del Servicio: ¿Cuál es el umbral aceptable de tiempo de inactividad?
- Restricciones de Recursos: ¿Qué herramientas de seguridad puede soportar el rendimiento de tu servidor?
- Superficie de Ataque: ¿Qué servicios están expuestos a Internet?
Preparación Previa al Endurecimiento
Inventario del Sistema
Documenta la configuración actual de tu servidor antes de hacer cambios:
# System information
hostnamectl
uname -a
cat /etc/os-release
# Network configuration
ip addr show
ip route show
ss -tuln
# Installed services
systemctl list-unit-files --type=service --state=enabled
Respaldo de Configuración Crítica
Siempre respalda los archivos de configuración antes de modificarlos:
# Create backup directory
sudo mkdir -p /root/config-backup-$(date +%Y%m%d)
# Backup critical files
sudo cp -r /etc/ssh /root/config-backup-$(date +%Y%m%d)/
sudo cp -r /etc/sysctl.conf /root/config-backup-$(date +%Y%m%d)/
sudo cp -r /etc/security /root/config-backup-$(date +%Y%m%d)/
Endurecimiento del Sistema Operativo
Instalación Mínima
Comienza con una instalación mínima del SO que contenga solo paquetes esenciales:
# Ubuntu/Debian - Remove unnecessary packages
sudo apt-get autoremove
sudo apt-get purge $(dpkg -l | grep '^rc' | awk '{print $2}')
# CentOS/Rocky Linux - List installed packages
sudo dnf list installed
sudo dnf remove package-name
Actualizaciones del Sistema y Gestión de Parches
Mantener los parches de seguridad actuales es crítico:
# Ubuntu/Debian
sudo apt-get update
sudo apt-get upgrade -y
sudo apt-get dist-upgrade -y
# Enable automatic security updates
sudo apt-get install unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgrades
Configurar actualizaciones automáticas en CentOS/Rocky:
# CentOS/Rocky Linux
sudo dnf update -y
sudo dnf install dnf-automatic
sudo systemctl enable --now dnf-automatic.timer
Editar /etc/dnf/automatic.conf:
[commands]
upgrade_type = security
apply_updates = yes
Endurecimiento del Kernel con Sysctl
Los parámetros del kernel proporcionan controles de seguridad poderosos:
Editar /etc/sysctl.conf o crear /etc/sysctl.d/99-hardening.conf:
# IP Forwarding
net.ipv4.ip_forward = 0
net.ipv6.conf.all.forwarding = 0
# Syn flood protection
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_syn_retries = 2
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_max_syn_backlog = 4096
# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
# Ignore send redirects
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Disable source packet routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0
# Reverse path filtering
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Log martian packets
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
# Ignore ICMP ping requests
net.ipv4.icmp_echo_ignore_all = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1
# Ignore bogus ICMP errors
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Enable TCP/IP stack hardening
kernel.randomize_va_space = 2
kernel.exec-shield = 1
kernel.kptr_restrict = 2
kernel.dmesg_restrict = 1
# Restrict kernel pointers in /proc
kernel.kptr_restrict = 2
Aplicar cambios:
sudo sysctl -p
sudo sysctl --system
Seguridad de Cuentas de Usuario
Deshabilitar el Inicio de Sesión Root
Nunca permitas el inicio de sesión root directo vía SSH:
Editar /etc/ssh/sshd_config:
PermitRootLogin no
Políticas de Contraseñas Fuertes
Configurar requisitos de complejidad de contraseñas:
Editar /etc/security/pwquality.conf:
# Password minimum length
minlen = 14
# Require complexity
dcredit = -1 # At least one digit
ucredit = -1 # At least one uppercase
lcredit = -1 # At least one lowercase
ocredit = -1 # At least one special character
# Reject passwords with username
usercheck = 1
# Maximum consecutive characters
maxrepeat = 3
Vencimiento de Contraseñas
Aplicar políticas de expiración de contraseñas:
Editar /etc/login.defs:
PASS_MAX_DAYS 90
PASS_MIN_DAYS 1
PASS_WARN_AGE 7
Aplicar a usuarios existentes:
sudo chage -M 90 -m 1 -W 7 username
Bloqueo de Cuentas
Prevenir ataques de fuerza bruta con bloqueos de cuentas:
Editar /etc/security/faillock.conf:
# Lock account after 5 failed attempts
deny = 5
# Unlock time (seconds)
unlock_time = 900
# Root account also subject to lockout
even_deny_root
Endurecimiento de SSH
Autenticación Basada en Claves
Deshabilitar completamente la autenticación por contraseña:
# Generate SSH key on client
ssh-keygen -t ed25519 -a 100
# Copy to server
ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server
Configurar el demonio SSH (/etc/ssh/sshd_config):
# Authentication
PubkeyAuthentication yes
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
UsePAM yes
# Root login
PermitRootLogin no
# Protocol
Protocol 2
# Key types
HostKey /etc/ssh/ssh_host_ed25519_key
HostKey /etc/ssh/ssh_host_rsa_key
# Ciphers and algorithms
KexAlgorithms curve25519-sha256,[email protected]
Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
MACs [email protected],[email protected],hmac-sha2-512,hmac-sha2-256
# Connection settings
ClientAliveInterval 300
ClientAliveCountMax 2
MaxAuthTries 3
MaxSessions 2
LoginGraceTime 60
# Limit users
AllowUsers deployuser adminuser
Cambiar el Puerto SSH Predeterminado
Reducir ataques automatizados cambiando el puerto predeterminado:
# Edit SSH config
Port 2222
# Update firewall
sudo ufw allow 2222/tcp
sudo ufw delete allow 22/tcp
# Restart SSH
sudo systemctl restart sshd
Configuración del Firewall
UFW (Ubuntu/Debian)
Implementar una política de firewall estricta:
# Install UFW
sudo apt-get install ufw
# Default policies
sudo ufw default deny incoming
sudo ufw default allow outgoing
# Allow SSH (custom port)
sudo ufw allow 2222/tcp
# Allow HTTP/HTTPS
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
# Rate limit SSH
sudo ufw limit 2222/tcp
# Enable firewall
sudo ufw enable
# Check status
sudo ufw status verbose
Firewalld (CentOS/Rocky)
# Install firewalld
sudo dnf install firewalld
sudo systemctl enable --now firewalld
# Set default zone
sudo firewall-cmd --set-default-zone=public
# Configure services
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
# Custom SSH port
sudo firewall-cmd --permanent --add-port=2222/tcp
sudo firewall-cmd --permanent --remove-service=ssh
# Rich rules for rate limiting
sudo firewall-cmd --permanent --add-rich-rule='rule service name=ssh limit value=10/m accept'
# Reload
sudo firewall-cmd --reload
Control de Acceso Obligatorio
Configuración de SELinux
Para sistemas basados en Red Hat:
# Check SELinux status
sestatus
# Set enforcing mode
sudo setenforce 1
# Make permanent
sudo sed -i 's/SELINUX=.*/SELINUX=enforcing/' /etc/selinux/config
Gestionar contextos de SELinux:
# Relabel filesystem
sudo touch /.autorelabel
sudo reboot
# Check file contexts
ls -Z /path/to/file
# Restore default context
sudo restorecon -Rv /path/to/directory
Configuración de AppArmor
Para sistemas basados en Debian:
# Install AppArmor
sudo apt-get install apparmor apparmor-utils
# Check status
sudo aa-status
# Enable profiles
sudo aa-enforce /etc/apparmor.d/*
# Create custom profile
sudo aa-genprof /usr/bin/application
Seguridad del Sistema de Archivos
Seguridad de Particiones con Opciones de Montaje
Editar /etc/fstab con opciones de montaje seguras:
/dev/sda1 / ext4 defaults,nodev,nosuid,noexec 1 1
/dev/sda2 /home ext4 defaults,nodev,nosuid 1 2
/dev/sda3 /tmp ext4 defaults,nodev,nosuid,noexec 1 2
/dev/sda4 /var ext4 defaults,nodev 1 2
/dev/sda5 /var/tmp ext4 defaults,nodev,nosuid,noexec 1 2
tmpfs /dev/shm tmpfs defaults,nodev,nosuid,noexec 0 0
Aplicar inmediatamente:
sudo mount -o remount /tmp
sudo mount -o remount /var/tmp
Endurecimiento de Permisos de Archivos
Establecer permisos predeterminados restrictivos:
# Set umask in /etc/profile and /etc/bash.bashrc
umask 027
# Secure sensitive files
sudo chmod 600 /etc/ssh/sshd_config
sudo chmod 600 /boot/grub/grub.cfg
sudo chmod 644 /etc/passwd
sudo chmod 640 /etc/shadow
sudo chmod 640 /etc/gshadow
Encontrar y corregir archivos con escritura mundial:
# Find world-writable files
sudo find / -xdev -type f -perm -0002 -ls
# Find files without owner
sudo find / -xdev -nouser -o -nogroup
# Find SUID/SGID files
sudo find / -xdev -type f \( -perm -4000 -o -perm -2000 \) -ls
Endurecimiento de Procesos y Servicios
Deshabilitar Servicios Innecesarios
# List enabled services
systemctl list-unit-files --type=service --state=enabled
# Disable unnecessary services
sudo systemctl disable cups
sudo systemctl disable avahi-daemon
sudo systemctl disable bluetooth
Restringir Core Dumps
Prevenir la filtración de datos sensibles a través de core dumps:
Editar /etc/security/limits.conf:
* hard core 0
Crear /etc/sysctl.d/50-coredump.conf:
kernel.core_pattern = |/bin/false
fs.suid_dumpable = 0
Monitoreo y Registro
Registro Centralizado
Configurar rsyslog para registro remoto:
Editar /etc/rsyslog.conf:
# Send logs to remote server
*.* @@logserver.example.com:514
Registro de Auditoría con Auditd
# Install auditd
sudo apt-get install auditd audispd-plugins
# Enable and start
sudo systemctl enable auditd
sudo systemctl start auditd
Configurar reglas de auditoría en /etc/audit/rules.d/hardening.rules:
# Delete all existing rules
-D
# Buffer size
-b 8192
# Failure mode
-f 1
# Monitor authentication
-w /etc/passwd -p wa -k passwd_changes
-w /etc/group -p wa -k group_changes
-w /etc/shadow -p wa -k shadow_changes
-w /etc/sudoers -p wa -k sudoers_changes
# Monitor login/logout
-w /var/log/lastlog -p wa -k logins
-w /var/run/faillock/ -p wa -k logins
# Monitor network changes
-w /etc/hosts -p wa -k network_changes
-w /etc/network/ -p wa -k network_changes
# Monitor privilege escalation
-w /usr/bin/sudo -p x -k privilege_escalation
-w /usr/bin/su -p x -k privilege_escalation
# Monitor SSH
-w /etc/ssh/sshd_config -p wa -k sshd_config
# System calls
-a always,exit -F arch=b64 -S execve -k exec
-a always,exit -F arch=b64 -S connect -k network_connect
Recargar reglas:
sudo augenrules --load
sudo systemctl restart auditd
Retención de Registros
Configurar la rotación de registros en /etc/logrotate.d/rsyslog:
/var/log/syslog
/var/log/auth.log
{
rotate 90
daily
missingok
notifempty
compress
delaycompress
postrotate
/usr/lib/rsyslog/rsyslog-rotate
endscript
}
Detección y Prevención de Intrusiones
Configuración de Fail2Ban
# Install Fail2Ban
sudo apt-get install fail2ban
# Create local configuration
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Editar /etc/fail2ban/jail.local:
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 5
destemail = [email protected]
sendername = Fail2Ban
action = %(action_mwl)s
[sshd]
enabled = true
port = 2222
logpath = /var/log/auth.log
maxretry = 3
bantime = 86400
AIDE (Advanced Intrusion Detection Environment)
# Install AIDE
sudo apt-get install aide
# Initialize database
sudo aideinit
# Move database
sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db
# Run checks
sudo aide --check
# Automate with cron
echo "0 3 * * * root /usr/bin/aide --check | mail -s 'AIDE Report' [email protected]" | sudo tee -a /etc/crontab
Procedimientos de Respuesta a Incidentes
Detección y Análisis
Cuando se detecta actividad sospechosa:
# Check active connections
sudo ss -tupn
sudo netstat -tupn
# Review authentication logs
sudo tail -100 /var/log/auth.log
sudo journalctl -u sshd -n 100
# Check for new users
sudo tail /etc/passwd
sudo tail /etc/shadow
# Identify suspicious processes
ps aux | grep -v root
ps aux --sort=-pcpu | head -10
Contención
# Block attacking IP
sudo ufw deny from <attacking-ip>
sudo iptables -I INPUT -s <attacking-ip> -j DROP
# Disable compromised account
sudo usermod -L compromised-user
sudo passwd -l compromised-user
# Kill suspicious processes
sudo kill -9 <pid>
# Disconnect network (if necessary)
sudo ip link set eth0 down
Recolección de Evidencia
# Capture system state
sudo ps aux > /root/incident-$(date +%Y%m%d-%H%M%S)-ps.txt
sudo netstat -tupn > /root/incident-$(date +%Y%m%d-%H%M%S)-netstat.txt
sudo ss -tupn > /root/incident-$(date +%Y%m%d-%H%M%S)-ss.txt
# Copy logs
sudo tar czf /root/incident-$(date +%Y%m%d-%H%M%S)-logs.tar.gz /var/log/
# Memory dump (if installed)
sudo dd if=/dev/mem of=/root/memory-dump-$(date +%Y%m%d-%H%M%S).img
Recuperación
# Change all passwords
sudo passwd root
sudo passwd username
# Regenerate SSH host keys
sudo rm /etc/ssh/ssh_host_*
sudo dpkg-reconfigure openssh-server
# Update all packages
sudo apt-get update && sudo apt-get upgrade -y
# Review and close unnecessary ports
sudo ss -tuln
Consideraciones de Cumplimiento
Requisitos PCI-DSS
Para el procesamiento de tarjetas de pago:
- Control de acceso fuerte (Requisitos 7, 8)
- Cifrar transmisión de datos (Requisito 4)
- Mantener registros de auditoría (Requisito 10)
- Pruebas de seguridad regulares (Requisito 11)
- Gestión de vulnerabilidades (Requisito 6)
Cumplimiento HIPAA
Para datos de atención médica:
- Implementar controles de acceso
- Controles de auditoría y registro
- Cifrado de ePHI
- Evaluaciones de riesgo regulares
Requisitos GDPR
Para datos personales de la UE:
- Protección de datos por diseño
- Seudonimización y cifrado
- Capacidad de restaurar disponibilidad de datos
- Pruebas regulares de medidas de seguridad
Lista de Verificación de Implementación
# Verify compliance controls
- [ ] Multi-factor authentication enabled
- [ ] Full disk encryption configured
- [ ] Audit logging active and monitored
- [ ] Regular vulnerability scans scheduled
- [ ] Incident response plan documented
- [ ] Data retention policies configured
- [ ] Backup and recovery tested
- [ ] Security awareness training completed
Mantenimiento de Seguridad Continua
Auditorías de Seguridad Regulares
Programar revisiones de seguridad mensuales:
#!/bin/bash
# Security audit script
echo "=== Security Audit $(date) ===" > /root/security-audit.log
# Check for updates
apt-get -s upgrade >> /root/security-audit.log
# List listening ports
echo -e "\n=== Listening Ports ===" >> /root/security-audit.log
ss -tuln >> /root/security-audit.log
# Check failed login attempts
echo -e "\n=== Failed Login Attempts ===" >> /root/security-audit.log
grep "Failed password" /var/log/auth.log | tail -20 >> /root/security-audit.log
# World-writable files
echo -e "\n=== World-Writable Files ===" >> /root/security-audit.log
find / -xdev -type f -perm -0002 >> /root/security-audit.log 2>/dev/null
# SUID files
echo -e "\n=== SUID/SGID Files ===" >> /root/security-audit.log
find / -xdev -type f \( -perm -4000 -o -perm -2000 \) >> /root/security-audit.log 2>/dev/null
Escaneo de Vulnerabilidades
# Schedule weekly vulnerability scans
0 2 * * 0 /usr/bin/lynis audit system --cronjob > /var/log/lynis/$(date +\%Y\%m\%d).log
Gestión de Actualizaciones de Seguridad
Establecer un calendario de gestión de parches:
- Parches de seguridad críticos: Dentro de 24 horas
- Parches de seguridad importantes: Dentro de 7 días
- Actualizaciones normales: Ventana de mantenimiento mensual
- Probar actualizaciones en staging antes de producción
Conclusión
El endurecimiento de servidores Linux es un proceso integral y continuo que requiere implementación sistemática de controles de seguridad a través de múltiples capas. Siguiendo esta guía, has establecido una base de seguridad robusta que aborda:
Prevención: A través de autenticación fuerte, reglas de firewall y controles de acceso Detección: Mediante registro completo, monitoreo y sistemas de detección de intrusiones Respuesta: Con procedimientos documentados de respuesta a incidentes y métodos de recolección de evidencia
Recuerda que la seguridad no es un destino sino un viaje continuo. El panorama de amenazas evoluciona constantemente, requiriendo reevaluación regular de tu postura de seguridad. Mantén vigilancia a través de:
- Revisión semanal de registros de seguridad
- Escaneos de vulnerabilidades mensuales
- Auditorías de seguridad trimestrales
- Pruebas de penetración anuales
- Educación continua sobre amenazas emergentes
Un servidor Linux correctamente endurecido reduce significativamente tu superficie de ataque y proporciona múltiples capas defensivas. Sin embargo, el endurecimiento debe equilibrarse con los requisitos operacionales y la usabilidad. Documenta todos los cambios, mantén respaldos y prueba las configuraciones de seguridad regularmente.
La inversión en endurecimiento completo de servidores paga dividendos a través de incidentes de seguridad reducidos, postura de cumplimiento mejorada y protección de activos comerciales críticos. Comienza con los fundamentos descritos en esta guía, luego implementa progresivamente controles de seguridad avanzados a medida que evoluciona tu madurez de seguridad.
Mantente informado sobre nuevas vulnerabilidades, sigue las listas de correo de seguridad de tu distribución Linux y participa en la comunidad de seguridad para mantener conciencia de amenazas emergentes y mejores prácticas.