Hace rato que vengo dándole vueltas a esto, y por fin me animé. Les presento Linux-Hardening, un proyecto que nació de la necesidad de automatizar el hardening de servidores Linux.
¿Qué es Linux-Hardening?
Es una colección de scripts en Bash para hacer hardening de seguridad en servidores Linux. Están basados en estándares CIS Benchmarks, son 100% open-source y los pueden usar, modificar y romper.
Todo el código está acá:
👉 github.com/OrangeBox-Labs/Linux-Hardening
¿Qué scripts hay ahora mismo?
| Script | ¿Qué hace? |
|---|---|
ssh-hardening.sh |
Deshabilita root, cifrados fuertes, timeout, lo justo y necesario |
password-hardening.sh |
Longitud, complejidad, lockout, hash SHA-512, reuso |
selinux-secure-setup.sh |
Pone SELinux en modo permisivo y configura contextos básicos |
FS-hardening.sh |
Particiones separadas, opciones noexec, nodev, nosuid |
sudo-hardening.sh |
Timeout, logging, restricción de comandos |
auditd-hardening.sh |
Reglas de auditoría para comandos críticos |
kernel-hardening.sh |
Parámetros de red y sysctl seguros |
remove-xinetd.sh |
Elimina xinetd (spoiler: es una buena idea) |
| …y varios más para limpiar servicios, paquetes, USB, GUI, etc. |
¿Para quién es esto?
- Sysadmins que quieren asegurar servidores RHEL, CentOS, Rocky o AlmaLinux.
- PyMEs que no tienen presupuesto para herramientas comerciales.
- Estudiantes que quieren aprender hardening viendo código real.
- Cualquiera que tenga un Linux en producción y quiera dormir más tranquilo.
¿Cómo se usa?
git clone https://github.com/OrangeBox-Labs/Linux-Hardening.git
cd Linux-Hardening
chmod +x *.sh
Modo verificación (no cambia nada):
./ssh-hardening.sh
Modo aplicación (hace los cambios):
./ssh-hardening.sh --fix
Todos los scripts crean backups automáticos en /root/ con fecha y hora. Si algo sale mal, se vuelve sin problema.
¿Qué viene después?
Vamos a seguir agregando a medida que vamos documentando cosas y proyectos:
- Scripts para VMware (configuración segura del hypervisor)
- Para cloud (AWS, GCP con hardening específico)
- Para Kubernetes (seguridad en pods, namespaces, RBAC)
- Seguridad perimetral (firewalls, proxies, IDS/IPS)
- Automatización (playbooks de Ansible, pipelines CI/CD)
🙏 Quiero pedir un script
¿Tienes una necesidad puntual? ¿Algún servicio mal documentado? ¿Un dolor de cabeza recurrente?
Pídelo. Deja un comentario en el canal de YouTube o abre un issue en GitHub. Si es útil para varios, lo hacemos.
📦 Recursos relacionados
- 📝 Blog técnico — Artículos de hardening y buenas prácticas
- 🎥 YouTube — Ataques reales y defensas paso a paso
- 🐙 GitHub — Todo el código abierto
Si llegaste hasta acá, ya eres parte de la comunidad. Comparte el repo, úsalo, rómpelo, mejóralo. Entre más seamos, más seguro (y divertido) es el camino.
— Felipe Román
www.orangebox.cl