Si tu servidor está expuesto a internet y solo usas credenciales por defecto, estás permitiendo que bots automatizados escaneen y ataquen tu infraestructura constantemente. Un servidor mal configurado es, en esencia, un servidor comprometido. Hoy optimizamos el acceso y la detección.

El Check-list del Hardening SSH

No te limites a cambiar el puerto; eso es solo «security through obscurity». Implementa controles estrictos en /etc/ssh/sshd_config:

  • Deshabilita el login de root: PermitRootLogin no.
  • Elimina la autenticación por contraseña: PasswordAuthentication no.
  • Usa solo llaves: Prioriza Ed25519 sobre RSA para mejor performance y seguridad.
  • Control de sesiones: ClientAliveInterval 300 y MaxAuthTries 3 para cerrar sesiones inactivas y limitar intentos de fuerza bruta.

Nota: Aplica sudo sshd -t para validar la sintaxis antes de reiniciar el servicio.

Detención Automatizada con Fail2Ban

No dejes que el atacante pruebe mil combinaciones. Fail2Ban es indispensable para bloquear IPs tras intentos fallidos.

Configura tu /etc/fail2ban/jail.local:
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600

Esto garantiza que, tras 3 intentos fallidos, la IP sea bloqueada por una hora.

Visibilidad: El siguiente nivel con Wazuh

El hardening es un proceso vivo, no un «set and forget». Si gestionas múltiples servidores, utiliza Wazuh para auditar tu cumplimiento.

Su módulo de Security Configuration Assessment (SCA) compara tus configuraciones con los benchmarks de CIS. Detecta automáticamente:
Usuarios con privilegios elevados innecesarios.
Servicios inactivos pero abiertos.
Desviaciones («drift») en la configuración de seguridad establecida.

Recomendación Pro

Si estás en AWS, complementa esto con Security Groups restrictivos (nunca 0.0.0.0/0 para SSH) y el uso de AWS Systems Manager (SSM) para gestionar sesiones remotas sin necesidad de abrir puertos SSH directamente al público.

¿Ya tienes implementado un monitoreo de integridad de archivos (FIM) para detectar cambios no autorizados, o sigues confiando solo en logs manuales? Cuéntame tu stack de seguridad en los comentarios.


Daniel Maldonado

¡Hola! Soy Daniel Maldonado, Sr. Analista de Seguridad Informática y me dedico al hacking desde hace más de 10 años.

0 comentarios

Deja una respuesta

Marcador de posición del avatar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Daniel Maldonado
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.