{"id":148784,"date":"2023-09-08T10:38:28","date_gmt":"2023-09-08T10:38:28","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/pasos-servidor-linux-mas-seguro\/"},"modified":"2025-05-07T14:54:26","modified_gmt":"2025-05-07T14:54:26","slug":"pasos-servidor-linux-mas-seguro","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/es\/blog\/pasos-servidor-linux-mas-seguro\/","title":{"rendered":"Pasos clave para un servidor Linux m\u00e1s seguro"},"content":{"rendered":"

Fortalecer un servidor Linux significa fortificar y asegurar dicho servidor para protegerlo de vulnerabilidades y amenazas. Aunque la seguridad total siempre ser\u00e1 un objetivo en movimiento en la carrera armament\u00edstica de la seguridad, este art\u00edculo explora algunas medidas fundamentales importantes que puedes tomar para ayudar a mantener tus servidores seguros y protegidos.<\/span><\/p>\n

Ning\u00fan riesgo de seguridad es lo suficientemente peque\u00f1o como para ignorarlo<\/h2>\n

Por desgracia, incluso las vulnerabilidades m\u00e1s peque\u00f1as pueden transformarse en graves amenazas para la seguridad. Es importante recordar que cualquier c\u00f3digo que se ejecute en tu sistema podr\u00eda contener fallos que permitan a intrusos acceder a un shell de comandos o a usuarios leg\u00edtimos sin privilegios elevar su acceso a derechos de superusuario. Por muy bajo que sea el nivel de riesgo, siempre es mejor abordar los riesgos de seguridad menores antes de que se conviertan en amenazas de ciberseguridad mayores. Al reforzar el servidor Linux, los equipos de TI pueden fortalecer sus defensas antes de que se produzca una amenaza grave, lo que ayudar\u00e1 a evitar que aparezcan problemas importantes desde un principio.<\/span><\/p>\n

Gestione, actualice y brinde soporte a puntos finales de Linux a gran escala.<\/p>\n

Descubra el RMM de Linux de NinjaOne.<\/a><\/span><\/p>\n<\/div>\n

Actualizaciones del sistema y parches de seguridad<\/h2>\n

Actualizar peri\u00f3dicamente tu servidor Linux es esencial para mantener su seguridad y su salud general, sobre todo teniendo en cuenta que <\/span>el 57% de los ataques externos proceden de sistemas sin parches<\/span><\/a>. El software y los sistemas operativos se mejoran y perfeccionan constantemente para subsanar vulnerabilidades y puntos d\u00e9biles. Si aplicas las actualizaciones con prontitud, te est\u00e1s asegurando de que los fallos de seguridad conocidos est\u00e1n parcheados, lo que reduce el riesgo de explotaci\u00f3n por parte de las ciberamenazas. Adem\u00e1s, las actualizaciones suelen incluir correcciones de errores y mejoras de rendimiento, lo que se traduce en un entorno de servidor m\u00e1s estable y eficaz. No actualizar regularmente puede dejar el sistema expuesto a posibles ataques y comprometer su integridad.<\/span><\/p>\n

Utilizar software obsoleto y dejar vulnerabilidades sin parchear supone riesgos significativos para tus servidores Linux. Los ciberdelincuentes atacan activamente vulnerabilidades conocidas para obtener acceso no autorizado, comprometer datos o interrumpir servicios. Cuando las vulnerabilidades se hacen p\u00fablicas, los agentes maliciosos pueden aprovecharlas para poner en peligro los sistemas que no han recibido actualizaciones. Retrasar las actualizaciones aumenta la ventana de oportunidad para que los atacantes aprovechen los puntos d\u00e9biles de las defensas de tus servidores, por lo que las actualizaciones peri\u00f3dicas son una medida de defensa fundamental.<\/span><\/p>\n

Elegir las estrategias de parcheo adecuadas y\u00a0<\/span>buenas pr\u00e1cticas para la gesti\u00f3n de parches de tu servidor<\/span><\/a> es crucial para mantener un servidor Linux seguro. Por lo general, todas las distribuciones actuales de Linux para empresas disponen de alg\u00fan tipo de servicio automatizado de gesti\u00f3n de parches, ya sea mediante un servicio de suscripci\u00f3n de pago o gracias a los esfuerzos de la comunidad. Los servicios de pago a menudo van m\u00e1s all\u00e1 de simplemente parchear los archivos del sistema para protegerlos; algunos de estos servicios tambi\u00e9n incluyen una soluci\u00f3n para parchear en vivo el n\u00facleo en ejecuci\u00f3n, lo que permite que los sistemas en ejecuci\u00f3n permanezcan parcheados incluso antes de tener que reiniciarlos.\u00a0<\/span><\/p>\n

Introducci\u00f3n a los gestores de paquetes<\/h3>\n

Los gestores de paquetes var\u00edan de una distribuci\u00f3n a otra, pero tienden a utilizar dos formatos principales: DEB y RPM. DEB se utiliza en sistemas basados en Debian y se gestiona mediante <\/span>apt<\/b>; RPM (Redhat Package Manager), por su parte, se gestiona mediante <\/span>dnf <\/b>o <\/span>yum <\/b>para sistemas basados en Red Hat\/Enterprise Linux o <\/span>zypper <\/b>para SUSE. Todos los gestores de paquetes facilitan la instalaci\u00f3n, actualizaci\u00f3n y eliminaci\u00f3n de paquetes de software, adem\u00e1s de resolver dependencias. Utiliza gestores de paquetes para gestionar eficazmente el software y agilizar el proceso de actualizaci\u00f3n. Los principales gestores de paquetes tambi\u00e9n son compatibles con repositorios remotos, lo que permite centralizar el control de las actualizaciones y los despliegues de software.<\/span><\/p>\n

Configurar actualizaciones autom\u00e1ticas para parches de seguridad cr\u00edticos<\/h3>\n

Configurar tu servidor Linux para que instale autom\u00e1ticamente los parches de seguridad cr\u00edticos garantiza que las actualizaciones de alta prioridad se apliquen r\u00e1pidamente sin intervenci\u00f3n manual, minimizando la ventana de vulnerabilidad y reduciendo la carga de los administradores. Las distribuciones para empresas suelen permitir configurar esta opci\u00f3n durante la instalaci\u00f3n. \u00c9chale un vistazo a los<\/span> paquetes de configuraci\u00f3n<\/span><\/a> si deseas configurarlo en tu sistema actual:<\/span><\/p>\n

Ubuntu: <\/span>sudo apt install unattended-upgrades<\/b><\/p>\n

Red Hat\/CentOS: <\/span>sudo yum install dnf-automatic<\/b><\/p>\n

SUSE: <\/span>sudo zypper install yast2-online-update-configuration<\/b>->\u00a0 abre YaST, selecciona Software -> Online Update Configuration, y config\u00faralo seg\u00fan tus preferencias.<\/span><\/p>\n

Ahora bien, ten cuidado al activar las actualizaciones autom\u00e1ticas, ya que pueden afectar a la estabilidad del sistema o requerir pruebas de compatibilidad. Las pruebas son especialmente importantes cuando se utilizan herramientas de administraci\u00f3n remota masiva como ansible o puppet para realizar actualizaciones de servidores en un entorno inform\u00e1tico heterog\u00e9neo.<\/span><\/p>\n

Configurar la elevaci\u00f3n sudo y el acceso shell<\/h2>\n

Configurar correctamente las cuentas de usuario y los permisos es esencial para tener un sistema seguro que siga permitiendo el acceso adecuado. Los permiso que no han sido configurados correctamente pueden crear algunos problemas, por lo que es mejor asegurarse de que est\u00e1n configurados correctamente desde el principio.<\/span><\/p>\n

Usar el comando <\/span>sudo <\/b>en todo su potencial con la configuraci\u00f3n correcta de<\/span>\/etc\/sudoers <\/b>te permite limitar y permitir los derechos de acceso root sin contrase\u00f1a en funci\u00f3n de cada aplicaci\u00f3n. Utiliza siempre el comando <\/span>visudo <\/b>para editar <\/span>\/etc\/sudoers<\/b>, ya que esto mantiene los permisos correctos en ese archivo cr\u00edtico:<\/span><\/p>\n

sudo visudo<\/span><\/p>\n

Haz cambios similares a estos, reemplazando ninja con tu nombre de usuario y ajustando la lista separada por comas de comandos permitidos para adaptarlos a tu caso de uso:<\/span><\/p>\n

someuser ALL=(ALL:ALL) ALL<\/pre>\n
a<\/span><\/p>\n
someuser ALL = NOPASSWD: \/bin\/systemctl restart nginx, \/bin\/kill, \/usr\/sbin\/reboot<\/pre>\n
A continuaci\u00f3n guarda y sal. Ten en cuenta que sudo lee el archivo \/etc\/sudoers de abajo hacia arriba, por lo que si que los cambios que haces no parecen ser efectivos, intenta mover la l\u00ednea que hayas editado para que est\u00e9 cerca de la parte inferior del archivo sudoers.<\/p>\n
Unas palabras acerca de los shells<\/h3>\n
Puedes establecer el shell por defecto de un usuario ejecutando el comando chsh como root, o en masa editando el archivo \/etc\/passwd como root. Esto es \u00fatil y recomendable en algunos casos, como cambiar el shell por defecto de una cuenta s\u00f3lo FTP a \/sbin\/nologin, ya que una cuenta de este tipo nunca deber\u00eda necesitar ejecutar ning\u00fan comando de terminal. Eliminar el acceso al shell en tal caso reducir\u00eda la superficie potencial de ataque del sistema.<\/p>\n
Proteger el acceso SSH con claves y desactivar el inicio de sesi\u00f3n root<\/h2>\n
Secure Shell (SSH) es un protocolo de red est\u00e1ndar que permite el acceso remoto a un sistema desde la l\u00ednea de comandos. Existe la creencia profundamente arraigada en el mundo de la tecnolog\u00eda de que el acceso shell deber\u00eda ser, por dise\u00f1o, equivalente a \u00abcomo si fueras local\u00bb, por lo que es fundamental limitar el acceso SSH s\u00f3lo a los usuarios necesarios, y tambi\u00e9n asegurarse de que s\u00f3lo los usuarios adecuados pueden hacer cosas como root.<\/span><\/p>\n
Buenas pr\u00e1cticas para proteger el acceso SSH a servidores Linux<\/h3>\n
Por lo general, es una buena idea deshabilitar por completo tanto el inicio de sesi\u00f3n root a trav\u00e9s de SSH como el acceso SSH basado en contrase\u00f1a. Mientras que el texto de la contrase\u00f1a en la autenticaci\u00f3n basada en contrase\u00f1a se transmite de forma cifrada por las claves de host SSH que se intercambian durante el protocolo de transferencia cliente\/servidor SSH previo al inicio de sesi\u00f3n, la contrase\u00f1a se transmite a trav\u00e9s de m\u00faltiples redes de alguna manera. Este es otro aspecto de la superficie de ataque: si las claves de host de tu servidor SSH se generaron utilizando un algoritmo antiguo\/inseguro, por ejemplo, alguien puede husmear tus contrase\u00f1as.<\/span><\/p>\n
Los inicios de sesi\u00f3n con claves SSH no son vulnerables a este tipo de ataque; tus claves p\u00fablicas son las \u00fanicas partes que se transmiten en \u00abtexto plano\u00bb y han sido dise\u00f1adas para ser distribuidas p\u00fablicamente. Al igual que ocurre con la propia clave privada, la frase de contrase\u00f1a que usas para desbloquearla durante el inicio de sesi\u00f3n con la clave SSH no se transmite a trav\u00e9s de la red.<\/span><\/p>\n
Utiliza claves SSH para la autenticaci\u00f3n<\/h4>\n
Ten en cuenta que los fragmentos de c\u00f3digo que aparecen a continuaci\u00f3n est\u00e1n anotados con comentarios del autor indicados con \u00ab##\u00bb para facilitar las instrucciones.<\/span><\/p>\n
    \n
  1. Genera una clave SSH utilizando el comando <\/span>ssh-keygen<\/b>. Por defecto, se utiliza el formato de clave de cifrado RSA est\u00e1ndar en el sector, pero se recomienda utilizar el est\u00e1ndar de cifrado de curva el\u00edptica <\/span>ed25519<\/b>, m\u00e1s r\u00e1pido y seguro.<\/span>
    \n<\/span>
    \n<\/span><\/p>\n
    user@host:~> ssh-keygen -t ed25519 \u00a0 \r\nGenerating public\/private ed25519 key pair. Enter file in which to save the key (\/home\/user\/.ssh\/id_ed25519): \r\nEnter passphrase (empty for no passphrase):\r\nEnter same passphrase again:\r\nYour identification has been saved in \/home\/user\/.ssh\/id_ed25519\r\nYour public key has been saved in \/home\/user\/.ssh\/id_ed25519.pub\r\nThe key fingerprint is: SHA256:NjPk3GbSIL6wdITiSrEQ3U9uXqqaYJdtS62cwCahKoM user@host\r\nThe key's randomart image is:\r\n+--[ED25519 256]--+\r\n|.. . |\r\n| .. ... |\r\n|... .+o o |\r\n|..o. o+=.+ |\r\n| +. ooooS = |\r\n|o.o.o++o B |\r\n|=o *.=.. |\r\n|E.+.* + |\r\n|o.o. = |\r\n+----[SHA256]-----+ \r\nuser@host:~><\/pre>\n<\/li>\n
  2. Copia tu clave p\u00fablica en tu plataforma de alojamiento en l\u00ednea. Si todav\u00eda tienes acceso con contrase\u00f1a al servidor en cuesti\u00f3n, puedes utilizar el comando <\/span>ssh-copy-id <\/b>para configurar autom\u00e1ticamente los archivos de configuraci\u00f3n SSH de tu cuenta remota con tu clave SSH reci\u00e9n generada copiada en los lugares correctos:<\/span>
    \n<\/span><\/p>\n
    ssh-copy-id -i ~\/.ssh\/id_ed25519.pub remoteuser@remotehost<\/pre>\n<\/li>\n
  3. Forms de utilizar claves SSH para iniciar sesi\u00f3n:A) Directamente en la l\u00ednea de comandos:<\/span>\n
    ssh -i ~\/.ssh\/id_ed25519 remoteuser@remotehost:port<\/pre>\n
    O<\/strong> utilizando el archivo<\/span>~\/.ssh\/config<\/b>:<\/span><\/li>\n
  4. Edita el archivo<\/span>~\/.ssh\/config <\/b>con cualquier editor de texto. Haz esto como la cuenta\/el usuario que utilizar\u00e1 la configuraci\u00f3n SSH para conectarse remotamente.<\/span><\/li>\n
  5. \u00a0A\u00f1ade estrofas con el siguiente formato:<\/span>
    \n<\/span><\/p>\n
    Host server1 \u00a0 ## Arbitrary label\/handle for easy usage\r\nHostname server1.example.com \u00a0 ## Real hostname\/IP\r\nUser remote_user_1\u00a0 ## Remote Linux username\r\nPort 12345\u00a0 ## Remote port, default 22\r\nIdentityFile ~\/.ssh\/id_ed25519\u00a0 ## NB! Private key file\r\nForwardX11 yes ## Optional, forwards remote GUI apps\r\n\r\nHost server2\u00a0 \r\nHostname server2.example.com\r\nUser remote_user_2\r\nPort 34567 \r\nIdentityFile ~\/.ssh\/id_ed25519<\/pre>\n
    Deben quedar espacios en blanco verticales entre las estrofas.<\/span><\/li>\n
  6. Ahora puedes aplicar SSH simplemente escribiendo:<\/span>
    \n<\/span><\/p>\n
    ssh server1\r\n<\/pre>\n
    Ya que todo lo dem\u00e1s est\u00e1 especificado bajo esa etiqueta stanza en tu archivo <\/span>.ssh\/config<\/b>. Consejo: si has adoptado el completado por tabulaci\u00f3n de Linux (tambi\u00e9n conocido como completado de bash), te alegrar\u00e1 saber que el archivo de configuraci\u00f3n SSH se conecta autom\u00e1ticamente a los <\/span>sistemas de completado bash <\/strong>de la mayor\u00eda de las distribuciones Linux modernas.<\/li>\n<\/ol>\n
    Desactivar la autenticaci\u00f3n de inicio de sesi\u00f3n y contrase\u00f1a de root SSH<\/h4>\n
      \n
    1. Aseg\u00farate AL 100% de que puedes iniciar sesi\u00f3n con tu clave SSH. Si esto no funciona correctamente, puedes quedarte fuera de tu sistema.<\/span><\/li>\n
    2. Utiliza tu editor favorito como root para cambiar las siguientes l\u00edneas en\u00a0<\/span>\/etc\/ssh\/sshd_config<\/b>a la siguiente configuraci\u00f3n<\/span>:<\/b>\n
      PermitRootLogin no\r\n\r\nChallengeResponseAuthentication no\r\n\r\nPasswordAuthentication no\r\n\r\nKbdInteractiveAuthentication no<\/pre>\n<\/li>\n
    3. Opcionalmente, haz que tu servidor SSH se ejecute en un puerto no est\u00e1ndar:<\/span>\n
      Port 12345<\/pre>\n<\/li>\n
    4. Guarda este archivo y vuelve a cargar tu servicio SSH:<\/span>\n
      sudo systemctl restart sshd<\/pre>\n<\/li>\n
    5. Ahora intenta iniciar sesi\u00f3n a trav\u00e9s de SSH sin la clave SSH:<\/span>\n
      ssh remote_user_1@server1 [-p port]\r\n<\/pre>\n
      Si no puedes iniciar sesi\u00f3n sin especificar una clave SSH, has realizado este paso correctamente.<\/span><\/li>\n<\/ol>\n
      Implementar un firewall en servidores Linux<\/h3>\n
      Si est\u00e1s funcionando con un servidor Linux de producci\u00f3n y tu distribuci\u00f3n viene con un firewall preconfigurado, entonces empiezas con buen pie. Siempre que los datos de un servidor de producci\u00f3n vayan a estar expuestos a Internet, lo mejor es protegerlos implementando un firewall. Las variantes Enterprise Linux\/Red Hat suelen incluir firewalld, mientras que Debian\/Ubuntu incluyen ufw (\u00abUncomplicated Firewall\u00bb). Consulta los comandos man firewall-cmd o man ufw para m\u00e1s detalles.<\/p>\n
      Configurar las reglas y pol\u00edticas de un firewall<\/h3>\n
      Las reglas y pol\u00edticas de un firewall<\/span><\/a>, sin no entramos en los detalles, deber\u00edan reducirse a \u00abbloquear todo excepto lo que permito espec\u00edficamente\u00bb- de nuevo, generalmente est\u00e1n preconfiguradas por defecto en los sistemas Linux modernos, especialmente en las variantes Enterprise Linux. Cualquier caso de uso no cubierto por estos valores por defecto queda fuera del \u00e1mbito de este documento.<\/span><\/p>\n
      Supervisar y gestionar el firewall<\/h3>\n