Hardening en Linux: 10 pasos esenciales para asegurar tu servidor (Guía 2026)
Instalar Linux es solo el principio. Por defecto, muchas distribuciones vienen configuradas para ser compatibles y fáciles de usar, lo que a menudo significa que no son seguras por defecto. Si tienes un VPS o un servidor casero expuesto a internet, los bots tardarán menos de 5 minutos en encontrar tu IP e intentar un ataque de fuerza bruta. En esta guía, aprenderás a aplicar Hardening (endurecimiento) a tu sistema para dormir tranquilo.
Nota del autor: Tras debatir esta guía con la comunidad de expertos, es vital aclarar que medidas como cambiar el puerto son "seguridad por oscuridad". Ayudan a reducir el ruido en los logs, pero la verdadera protección reside en la actualización constante, el uso de llaves criptográficas y la auditoría activa.
Mantén el sistema al día
Parece obvio, pero miles de servidores son vulnerados por no aplicar parches de seguridad conocidos. Usa los comandos de actualización de tu gestor de paquetes regularmente: sudo apt update && sudo apt upgrade -y Una buena práctica es configurar las unattended-upgrades para que los parches de seguridad se instalen solos.
Crea un usuario con privilegios limitados
Nunca utilices el usuario root para tareas diarias. Crea un usuario propio y añádelo al grupo de sudoers. A partir de ahora, solo escala a privilegios de administrador cuando sea estrictamente necesario.
Fortalece el acceso SSH (El paso más crítico)
El archivo /etc/ssh/sshd_config es tu primera línea de defensa. Aplica estos cambios:
Cambia el puerto: No uses el 22 ni el 2222. Usa un puerto en el rango efímero, por ejemplo el 49457. Esto evitará el 99% de los escaneos de bots automáticos.
Desactiva el login de Root: PermitRootLogin no
Desactiva contraseñas: PasswordAuthentication no
Desactiva el método interactivo: KbdInteractiveAuthentication no
Implementa Autenticación por Llaves SSH (Ed25519)
En lugar de una contraseña, usa criptografía. Genera un par de llaves en tu PC personal y copia la pública al servidor. Esto garantiza que solo tú, con tu archivo de llave privada, puedas entrar.
Configura un Firewall con UFW
No dejes puertos abiertos al azar. Establece una política de denegar todo por defecto y abre solo lo estrictamente necesario:
sudo ufw default deny incoming
sudo ufw allow 49457/tcp (Tu nuevo puerto SSH)
sudo ufw allow 80/tcp (HTTP)
sudo ufw allow 443/tcp (HTTPS)
Instala y configura Fail2Ban
Fail2Ban analiza los logs en busca de comportamientos sospechosos. Si una IP intenta loguearse y falla varias veces, Fail2Ban ordenará al firewall bloquear esa dirección automáticamente por un tiempo determinado.
Elimina servicios innecesarios
Menos software significa menos superficie de ataque. Revisa qué servicios están escuchando en tu red y desinstala lo que no uses (como servidores de impresión o bases de datos expuestas innecesariamente).
Protección de Memoria Compartida
Evita ciertos tipos de exploits montando el directorio /run/shm con restricciones. Edita /etc/fstab y añade las opciones noexec y nosuid a esa partición.
Desactiva el soporte de USB (Para servidores físicos)
Si tu servidor es físico y está en un lugar accesible, evita que conecten pendrives maliciosos deshabilitando el driver de almacenamiento USB en /etc/modprobe.d/.
Auditoría constante
¿Quieres saber qué tan seguro es tu sistema realmente? No basta con configurar, hay que verificar. He publicado una guía de seguimiento detallada donde enseño a usar herramientas profesionales para auditar todo lo que hemos configurado aquí.
Leer: Herramientas de Auditoría Recomendadas
Conclusión
El Hardening no es un destino, es un proceso continuo. Aplicar estos 10 pasos pondrá tu servidor Linux muy por encima de la media, dificultando enormemente el trabajo de cualquier atacante.
¿Te ha servido esta guía? Déjame un comentario contándome qué otras herramientas utilizas o si tienes dudas con tu configuración.