PerúLinux

Infraestructura · Hardening

Servidores Linux endurecidos contra el ataque real

Un servidor recién instalado no está listo para producción. Aplicamos una línea base CIS completa (SSH, firewall, SELinux/AppArmor, parchado y auditoría) y la dejamos documentada y verificable.

Solicita una evaluación de seguridad →Habla con un ingeniero

Qué aseguramos

Seis frentes que todo servidor en producción debe tener cerrados

El hardening no es una herramienta que se instala: es una configuración disciplinada de todo el sistema, verificada control por control.

Línea base CIS

Aplicamos los CIS Benchmarks de tu distribución como punto de partida, adaptados a lo que tu aplicación realmente necesita. Cada control queda documentado: qué se aplicó, qué se exceptuó y por qué.

SSH asegurado

Autenticación solo por llaves, sin login de root, algoritmos modernos, control de accesos por grupo y protección contra fuerza bruta con fail2ban. El punto de entrada más atacado, cerrado correctamente.

Firewall de host

Política de denegación por defecto con nftables o firewalld: solo los puertos que tu servicio necesita, segmentados por origen. El firewall perimetral no basta si el host queda abierto.

SELinux / AppArmor

Control de acceso obligatorio activo y en modo enforcing, no deshabilitado, como suele encontrarse. Escribimos y ajustamos políticas para que tu aplicación funcione confinada, no a costa de la seguridad.

Parchado gestionado

Ciclo de actualizaciones de seguridad con ventanas acordadas, priorización por criticidad (CVE) y plan de rollback. Parches de kernel y de servicios aplicados a tiempo, sin sorpresas en producción.

Auditoría y trazabilidad

auditd con reglas para cambios críticos (sudo, usuarios, binarios, configuración), integridad de archivos con AIDE y registros centralizados. Si algo cambia en el servidor, queda registrado quién y cuándo.

Cómo lo hacemos

Endurecer sin romper producción

El riesgo número uno del hardening es dejar una aplicación fuera de servicio. Por eso el proceso es medible, gradual y reversible.

01

Diagnóstico de línea base

Escaneamos cada servidor con OpenSCAP y Lynis contra el benchmark CIS de su distribución. Obtienes una foto real: qué controles pasan, cuáles fallan y cuál es la brecha.

02

Plan de endurecimiento

Priorizamos los hallazgos por riesgo e impacto operativo y definimos juntos las excepciones: el hardening no puede romper tu aplicación. Todo queda en un plan aprobado antes de tocar producción.

03

Aplicación controlada

Aplicamos los controles con Ansible (repetible y reversible), empezando por entornos de prueba cuando existen, y en ventanas acordadas cuando no. Cada cambio queda versionado.

04

Validación e informe

Re-escaneamos y te entregamos el informe comparativo antes/después, el inventario de controles aplicados y las excepciones documentadas. La línea base queda lista para auditar en el tiempo.

Alcance técnico

Más allá de SSH y firewall

La línea base cubre el sistema completo, no solo los servicios visibles. Estos son los dominios de control que revisamos y endurecemos en cada servidor:

  • Cuentas y privilegios: sudo granular, política de contraseñas, bloqueo de cuentas sin uso
  • Servicios y paquetes: solo lo necesario instalado y escuchando
  • Particionado y permisos: opciones de montaje (noexec, nosuid), umask y permisos de archivos críticos
  • Kernel y red: parámetros sysctl (forwarding, redirects, SYN cookies, ASLR)
  • Arranque y consola: GRUB protegido y acceso físico restringido
  • Sincronización de tiempo y registros: chrony y journald/rsyslog bien configurados

Herramientas

OpenSCAPLynisCIS BenchmarksAnsiblenftables / firewalldSELinux / AppArmorauditdAIDEfail2ban

Distribuciones

Red Hat Enterprise LinuxRocky Linux / AlmaLinuxUbuntu ServerDebianSUSE Linux Enterprise

Cuándo lo necesitas

Señales de que tu servidor necesita hardening

Vas a salir a producción

Un servidor nuevo expuesto a internet sin línea base es cuestión de tiempo: los escaneos automatizados lo encuentran en minutos, no en días.

Te lo exige un tercero

Auditorías, clientes corporativos o normativas que piden evidencia de controles: la línea base CIS documentada es exactamente esa evidencia.

Heredaste servidores

Sistemas que nadie configuró con criterio: SELinux deshabilitado, root por SSH, puertos abiertos. El diagnóstico te dice cuánto riesgo estás cargando.

Siguiente paso

¿Cuántos controles CIS pasa tu servidor hoy?

Lo medimos gratis: un escaneo de línea base sobre un servidor tuyo y el informe de brechas, sin compromiso.

Pide tu escaneo de línea base gratis →Escríbenos por WhatsApp