5 Consejos para el hardening de un servidor Linux

5 Consejos para el hardening de un servidor Linux

6 Minutes Read Updated on May 21, 2025

Los servidores Linux han tenido usos específicos durante mucho tiempo. Hay que ser consciente de que el nivel de protección de un servidor Linux nuevo es excepcionalmente bajo por defecto. Esto es para expandir la funcionalidad y la competencia tanto como sea posible durante la instalación. En consecuencia, es esencial llevar a cabo algunos procedimientos de hardening fundamentales antes de instalar el servidor en un entorno de producción.

En este artículo, revisaremos y discutiremos en profundidad 5 consejos fundamentales de hardening que todos y cada uno de los servidores Linux, independientemente de su función, deben seguir. Para reducir un vector de ataque, es crucial tener en cuenta que estos pasos son las mejores prácticas, y se debe crear una estrategia de protección personalizada para el servidor en función de su objetivo, entorno, versión, etc., a fin de lograr una capacidad de defensa del servidor que sea eficaz.

Los 5 consejos esenciales de hardening para un servidor Linux más seguro y protegido son:

  • Establecer un nuevo usuario sudo
  • Configurar unfirewall o cortafuegos
  • Configurar e instalar el cortafuegos fail2ban
  • Configurar el SSH
  • Automatizar el hardening de Linux habilitando SELinux

Consejo 1: Establecer un nuevo usuario sudo

 

Para instalar y configurar el servidor, el administrador del sistema operativo Linux posee privilegios totales. Para disminuir la posibilidad de que los piratas informáticos exploten el acceso y los privilegios de este usuario, este no debe utilizarse para realizar tareas rutinarias del servidor. En cambio, se debe establecer un nuevo usuario y otorgarle los derechos necesarios para llevar a cabo las operaciones estándar del servidor. Solo algunos administradores podrán utilizar este usuario sudo .

El comando:

# adduser sam

( referirse a Sam como su nombre de usuario)

Se requerirá una contraseña. Introduzca una contraseña fuerte y larga . El nuevo usuario del servidor debe agregarse al grupo de sudoers porque requerirá acceso de nivel raíz para realizar tareas administrativas:

# usermod -aG sudo tom

Top 5 Tips for a Secure Password

Consejo 2: Configurar un firewall o cortafuegos

 

Por lo general, los firewalls están preinstalados en aquellos servidores Linux que deben activarse manualmente. El siguiente comando se puede usar para habilitar los firewalls ufw que usan los servidores de Ubuntu:

# ufw enable

Consejo 3: Configurar e instalar el firewall fail2ban

 

Con el fin de evitar el tráfico entrante y saliente de una red no autorizado al servidor, el cortafuegos Fail2ban es la opción más útil. Esta aplicación de análisis de registros vigila los registros del sistema en busca de signos de un ataque orquestado en su Linode .

Fail2ban implementa una nueva política para iptables usando parámetros definidos que restringen la dirección IP del atacante por un período de tiempo predeterminado o de manera irrevocable cuando se descubre actividad maliciosa. Los usuarios pueden recibir notificaciones de Fail2ban por correo electrónico si se está produciendo un ataque de este tipo. Este firewall de terceros debe implementarse individualmente, y luego después de la instalación se puede configurar para evitar varios tipos de tráfico HTTP, SSH y FTP no deseado realizando las modificaciones necesarias en el archivo / etc /fail2ban/ jail.local

# nano / etc /fail2ban/ jail.local

Consejo 4: Configurar el SSH

Los servidores Linux llegan de fabricante con servicios SH. El Secure Shell o Secure Socket Shell (SSH) es quien experimenta la mayoría de los ataques externos y, por ende, su seguridad es de suma importancia. Se pueden cambiar numerosas configuraciones para mejorar la seguridad, pero se recomienda comenzar por aquí:

  • El puerto 22 es el puerto SSH está Se recomienda modificar las configuraciones predeterminadas porque es sabido que el puerto 22 contiene una serie de vulnerabilidades.
  • Es esencial asegurarse de que el SSH no pueda acceder a la cuenta raí Para esto, el siguiente comando puede ayudar:

PermitRootLog no

  • En este tipo de servidores se debe instalar un sistema de autenticación basado en claves, para así aumentar su seguridad al reemplazar el sistema tradicional de autenticación basado en contraseñas . Todo esto se puede configurar desde / etc / ssh / sshd_config
  • Permita algunos usuarios específicos:

AllowUsers [Username]

Cuando un usuario intenta configurar el SSH, es solo el comienzo; de hecho, pues es mucho más lo que un usuario puede hacer. Algunas empresas, por ejemplo, incluyen banners para alejar a los agresores y evitar que avancen.

Debe asegurarse de que los siguientes parámetros adicionales estén presentes en el archivo ” sshd config”:

Protocol2

IgnoreRhosts to yes

HostbasedAuthentication no

PermitEmptyPasswords no

X11Forwarding no

MaxAuthTries 5

Ciphers aes128-ctr,aes192-ctr,aes256-ctr

ClientAliveInterval 900

ClientAliveCountMax 0

UsePAM yes

Finalmente, asegúrese de que solo los usuarios raíz tengan acceso al archivo de configuración sshd configurando sus permisos en:

#chown root:root /etc/ssh/sshd_config

#chmod 600 /etc/ssh/sshd_config

Para entender completamente todas las configuraciones en este archivo, un usuario puede consultar la documentación de SSH para obtener orientación adicional, ya que este documento contiene instrucciones detalladas e información sobre varios temas.

Insertar URL: https://calcomsoftware.com/which-tls-version-is-obsolete/

Consejo 5: Automatizar el hardening de Linux habilitando SELinux

El mecanismo de seguridad del kernel conocido como Security-Enhanced Linux ( SELinux ) admite una política de seguridad de control de acceso. El SELinux se puede configurar de tres maneras:

  • Deshabilitado: Apagado
  • Imprimiendo precauciones:Permisivo
  • La política está siendo confirmada por la aplicación

Para emplear este sistema, el usuario necesita abrir el archivo de configuración usando un editor de texto:

#nano /etc/SELinux/config

Además, es esencial asegurarse de que la política se cumpla:

SELINUX=enforcing

Insertar URL https://calcomsoftware.com/windows-10-most-critical-vulnerabilities-in-2022/

Automatización del hardening de Linux

El uso de herramientas de hardening manual no es práctico cuando se trata de una infraestructura de un servidor cuyo tamaño sea de tres dígitos o más. Como resultado, muchas empresas ignoran el trabajo de hardening debido a los recursos que se deben utilizar y aceptan el riesgo de interrupciones en la producción. Sin embargo, las herramientas de hardening automatizado son imprescindibles para cualquier proyecto de hardening debido a que las reglas se vuelven más estrictas con respecto a los requisitos de hardening y al hecho de que éste puede prevenir la mayoría de las técnicas de ataque.

Antes de la implementación, se deben evaluar rigurosamente los efectos de cualquier actividad de hardening en un servidor Linux. Desafortunadamente, este proceso de prueba requiere mucho tiempo y es especialmente difícil en un entorno organizacional con tantas interconexiones.

Al automatizar el proceso de hardening de un servidor Linux usando una herramienta como CalCom’s Automated Server Hardening, el proceso engorroso puede completarse para cada servidor en aproximadamente cinco minutos, en lugar de cinco horas. Además, gracias a la automatización, el usuario no experimentaría ningún tiempo de inactividad durante el hardening.

Ben Balkin
Ben Balkin is a professional writer and blogger specializing in technology and innovation. As a contributor to the Calcom blog, Ben shares practical insights, useful tips, and engaging articles designed to simplify complex processes and make advanced technological solutions accessible to everyone. His writing style is clear, insightful, and inspiring, reflecting his strong belief in technology's power to enhance quality of life and empower businesses.

Related Articles

CIS Benchmarks y todo lo que necesitas saber

CIS Benchmarks y todo lo que necesitas saber

June 9, 2023

En el panorama siempre cambiante de la ciberseguridad, las organizaciones se esfuerzan por proteger sus…

SUPERANDO LOS 3 MAYORES DESAFÍOS EN EL HARDENING DEL SISTEMA

SUPERANDO LOS 3 MAYORES DESAFÍOS EN EL HARDENING DEL SISTEMA

May 29, 2022

Tal como las entrega el fabricante, las configuraciones predeterminadas de sus sistemas de red a…

GUÍA DE CONFIGURACIÓN DE CONTRASEÑAS DE WINDOWS

GUÍA DE CONFIGURACIÓN DE CONTRASEÑAS DE WINDOWS

June 13, 2021

Establecer y hacer cumplir la política de contraseñas debe ser una prioridad para las organizaciones…

Ready to simplify compliance?

See automated compliance in action—book your demo today!

Share this article