Los atacantes rara vez «comprometen» un sistema en la primera interacción; simplemente escanean configuraciones débiles que han sido olvidadas. El acceso SSH es, históricamente, el vector de entrada número uno para el movimiento lateral y la persistencia.
Si tu estrategia de seguridad se limita a cambiar el puerto 22, estás dejando la puerta trasera abierta. El hardening efectivo combina una configuración estricta en el sistema operativo con visibilidad continua.
⚙️ Checklist práctico para SSH (Linux)
Aplica estos cambios en /etc/ssh/sshd_config para reducir drásticamente la superficie de ataque:
Deshabilitar login directo de root: Obliga a usar cuentas nominales con sudo.
PermitRootLogin no
Forzar autenticación por clave pública: Elimina el riesgo de ataques de fuerza bruta.
PasswordAuthentication no
PubkeyAuthentication yes
Deshabilitar protocolos legacy: Elimina ciphers débiles (como MD5 o Arcfour).
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com
Establecer timeouts: Cierra sesiones olvidadas.
ClientAliveInterval 300
ClientAliveCountMax 0
Comando rápido para verificar sintaxis antes de reiniciar:
sudo sshd -t && sudo systemctl restart sshd
👁️ El eslabón perdido: Wazuh SCA
Configurar un servidor es solo la mitad del trabajo. La deriva de configuración (configuration drift) ocurre cuando alguien desactiva una regla por «emergencia» y olvida reactivarla.
Aquí es donde entra Wazuh (SCA – Security Configuration Assessment). En lugar de revisar manualmente cada servidor:
Auditoría automática: Wazuh escanea tus endpoints contra benchmarks (como CIS) para detectar si el puerto SSH fue reabierto o si la autenticación por contraseña volvió a habilitarse.
Detección en tiempo real: Si alguien intenta acceder con credenciales no permitidas, Wazuh registra el evento, permitiendo correlacionar logs de autenticación fallida con la IP de origen.
Integridad de archivos (FIM): Monitoriza /etc/ssh/sshd_config. Si el archivo cambia, recibes una alerta inmediata. Eso es seguridad proactiva, no reactiva.
💡 Recomendación técnica
No confíes en configuraciones estáticas. Implementa un pipeline de infraestructura como código (IaC) para aplicar estas reglas de manera consistente. Si manejas más de 5 servidores, la gestión manual es deuda técnica que terminará en un incidente de seguridad.
¿Estás monitoreando activamente los cambios en tus archivos de configuración SSH o confías únicamente en que «nadie los ha tocado»? ¡Te leo en los comentarios!
0 comentarios