He gestionado infraestructura Linux durante más años de los que confieso. En Sered teníamos cientos de servidores con miles de clientes encima, y la diferencia entre un servidor bien securizado y uno mal securizado se mide en horas perdidas tras un incidente. Aprendí a securizar rápido porque cuando un servidor te llega de un cliente nuevo a las tres de la mañana, no tienes media tarde para hacerlo. Tienes treinta minutos.
El kit gratuito que enlazo abajo es lo que destila esos años de práctica. No es teoría. Son los scripts y checklist que he aplicado en cientos de servidores reales y que aplico hoy en los servidores de Grupo Novalca.
Securizar un servidor Linux no tiene por qué llevar horas. Con nuestro Kit de Hardening Linux gratuito, puedes aplicar las mejores prácticas de seguridad en menos de 30 minutos.
¿Qué incluye el kit?
El kit contiene 10 scripts bash idempotentes, 5 checklists de seguridad y un playbook Ansible. Todo compatible con Debian 11/12 y Ubuntu 22.04/24.04.
Scripts de hardening
harden-ssh.sh — Securizar SSH
Desactiva el login como root, fuerza autenticación por clave pública, cambia el puerto SSH y configura fail2ban automáticamente. Ejemplo de uso:
sudo bash scripts/harden-ssh.sh --check # Verificar sin cambios
sudo bash scripts/harden-ssh.sh --port 2222 # Aplicarharden-firewall.sh — Firewall con nftables
Configura reglas nftables (con fallback a iptables) que solo abren SSH, HTTP y HTTPS. Todo lo demás se bloquea por defecto.
harden-kernel.sh — Parámetros del kernel
Aplica parámetros sysctl de seguridad: desactiva redirects, activa tcp_syncookies y rp_filter, protección contra ICMP attacks.
harden-ssl-tls.sh — TLS moderno
Desactiva TLS 1.0/1.1, configura cipher suites seguras, HSTS y OCSP stapling tanto para Nginx como Apache.
scan-vulnerabilities.sh — Escaneo rápido
Detecta puertos abiertos, servicios expuestos, certificados expirados y headers de seguridad faltantes.
detect-backdoors.sh — Detector de backdoors
Verifica checksums de binarios del sistema, busca crons sospechosos, procesos ocultos y archivos SUID peligrosos.
Checklists incluidas
- Server Launch Checklist — 30+ items pre-producción
- WordPress Security — Permisos, plugins, headers, backups
- Email Server — SPF, DKIM, DMARC, TLS, greylisting
- Security Audit — 50+ items de auditoría completa
- Incident Response — Playbook paso a paso ante compromiso
Lo que aprendí securizando servidores en Sered durante una década
Cuatro cosas que valen más que cualquier curso de ciberseguridad:
Primera, la mayoría de los ataques no son sofisticados. Son bots automatizados probando contraseñas comunes en puertos por defecto. Cambiar el puerto SSH y desactivar el login root con contraseña detiene el noventa y nueve por ciento de intentos automatizados. No te protege de un atacante motivado, pero te quita el ruido de fondo y te deja ver las amenazas reales.
Segunda, las actualizaciones tardías cuestan más que las prevenciones. En Sered tuvimos un incidente serio porque un servidor no se actualizó a tiempo después de una CVE crítica. Desde entonces, automatización de updates de seguridad es no negociable.
Tercera, los backups que nadie ha restaurado nunca son backups imaginarios. Hacer backup es fácil. Probar que se puede restaurar es lo que de verdad protege. Tenemos drill cuatrimestral de restore en infraestructura crítica. La primera vez que lo hicimos, descubrimos que los backups de un servidor llevaban dos meses corruptos sin que nadie lo supiera.
Cuarta, los logs solo sirven si alguien los mira. Centralizamos logs en un sistema separado del servidor productivo. Si un atacante compromete el servidor, no puede borrar los logs porque están en otra máquina.
¿Cuántos servidores tienes ahora mismo con SSH en puerto 22 y autenticación por contraseña? Si la respuesta no es cero, ese es tu primer trabajo del fin de semana. Te leo en comentarios si tienes dudas sobre alguno de los scripts.
Descarga gratuita
El kit completo está disponible como ZIP descargable con licencia MIT (libre para uso comercial y personal).
→ Descargar Kit de Hardening Linux
También puedes probar nuestro Escáner de Seguridad Web gratuito para verificar SSL, DNS y Security Headers de cualquier dominio.