Si tu servidor está expuesto a internet y solo usas credenciales por defecto, estás permitiendo que bots automatizados escaneen y ataquen tu infraestructura constantemente. Un servidor mal configurado es, en esencia, un servidor comprometido. Hoy optimizamos el acceso y la detección.
El Check-list del Hardening SSH
No te limites a cambiar el puerto; eso es solo «security through obscurity». Implementa controles estrictos en /etc/ssh/sshd_config:
- Deshabilita el login de root: PermitRootLogin no.
- Elimina la autenticación por contraseña: PasswordAuthentication no.
- Usa solo llaves: Prioriza Ed25519 sobre RSA para mejor performance y seguridad.
- Control de sesiones: ClientAliveInterval 300 y MaxAuthTries 3 para cerrar sesiones inactivas y limitar intentos de fuerza bruta.
Nota: Aplica sudo sshd -t para validar la sintaxis antes de reiniciar el servicio.
Detención Automatizada con Fail2Ban
No dejes que el atacante pruebe mil combinaciones. Fail2Ban es indispensable para bloquear IPs tras intentos fallidos.
Configura tu /etc/fail2ban/jail.local:
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
Esto garantiza que, tras 3 intentos fallidos, la IP sea bloqueada por una hora.
Visibilidad: El siguiente nivel con Wazuh
El hardening es un proceso vivo, no un «set and forget». Si gestionas múltiples servidores, utiliza Wazuh para auditar tu cumplimiento.
Su módulo de Security Configuration Assessment (SCA) compara tus configuraciones con los benchmarks de CIS. Detecta automáticamente:
Usuarios con privilegios elevados innecesarios.
Servicios inactivos pero abiertos.
Desviaciones («drift») en la configuración de seguridad establecida.
Recomendación Pro
Si estás en AWS, complementa esto con Security Groups restrictivos (nunca 0.0.0.0/0 para SSH) y el uso de AWS Systems Manager (SSM) para gestionar sesiones remotas sin necesidad de abrir puertos SSH directamente al público.
¿Ya tienes implementado un monitoreo de integridad de archivos (FIM) para detectar cambios no autorizados, o sigues confiando solo en logs manuales? Cuéntame tu stack de seguridad en los comentarios.
0 comentarios