Introducción

El hardening (endurecimiento) de servidores Linux es un proceso crítico para reducir vulnerabilidades y garantizar la integridad del sistema. Combinado con un mantenimiento periódico, permite mantener el rendimiento y la seguridad a largo plazo. En esta guía práctica, abordaremos las mejores prácticas de hardening y mantenimiento, desde la configuración inicial hasta la automatización de tareas.

1. Configuración inicial de seguridad

1.1. Actualización del sistema

Mantener el sistema actualizado es el primer paso. Usa apt update && apt upgrade (Debian/Ubuntu) o yum update (RHEL/CentOS). Configura actualizaciones automáticas de seguridad con unattended-upgrades.

1.2. Gestión de usuarios y privilegios

• Deshabilitar el acceso root por SSH: en /etc/ssh/sshd_config, establecer PermitRootLogin no.
• Crear un usuario con sudo: adduser usuario && usermod -aG sudo usuario.
• Usar autenticación por clave SSH en lugar de contraseñas.

2. Firewall y control de acceso

Configura ufw (Uncomplicated Firewall) o iptables. Ejemplo con UFW:

ufw default deny incoming
ufw default allow outgoing
ufw allow ssh
ufw enable

Para entornos más complejos, considera fail2ban para proteger contra ataques de fuerza bruta. Como vimos en nuestro artículo sobre revisión de código con IA, la automatización es clave; del mismo modo, automatizar la seguridad con herramientas como ansible puede ahorrar tiempo.

3. Hardening del kernel y servicios

3.1. Parámetros del kernel

Edita /etc/sysctl.conf para deshabilitar IP forwarding, mitigar ataques de red, etc.:

net.ipv4.ip_forward=0
net.ipv4.conf.all.accept_source_route=0
kernel.exec-shield=1

3.2. Servicios innecesarios

Deshabilita servicios no esenciales con systemctl disable servicio. Revisa los puertos abiertos con ss -tuln.

4. Mantenimiento periódico

4.1. Rotación de logs y monitoreo

Configura logrotate para evitar que los logs llenen el disco. Monitorea con journalctl o herramientas como Nagios. En la categoría Automatización y observabilidad encontrarás más recursos.

4.2. Respaldos y recuperación

Automatiza backups con rsync o duplicity. Verifica la integridad de los backups periódicamente.

5. Automatización con scripts

Crea un script de hardening que ejecute todas las configuraciones anteriores. Por ejemplo, un script bash que configure SSH, firewall, sysctl, etc. Puedes integrarlo con herramientas de gestión de configuración como Ansible.

Conclusión

El hardening y mantenimiento de servidores Linux es un proceso continuo. Implementa estas prácticas desde el inicio y revísalas periódicamente. Para más guías, visita nuestra categoría Guías y Tutoriales.