Hardening Avanzado en AlmaLinux: Guía CIS Benchmark 2025

El hardening transforma tu AlmaLinux en un sistema resistente a:

  • ✅ Ataques automatizados (bots)
  • ✅ Exploits de día cero
  • ✅ Brechas por configuración incorrecta
  • ✅ Cumplir con normativas (ISO 27001, PCI-DSS)

📊 Estadística: Servidores sin hardening son comprometidos 5x más rápido (Fuente: CIS Security Report 2025)

🛠️ Auditoría Inicial #

Escaneo con Lynis #

1
2

sudo dnf install lynis -y
sudo lynis audit system --quick

Actualizando CVEs conocidos #

1

sudo dnf update --security"

🔐 Hardening Básico #

Seguridad de Paquetes

1
2
3
4
5

# Actualizaciones críticas
sudo dnf update --security -y

# Eliminar servicios inseguros
sudo dnf remove xinetd telnet rsh -y

SSH Seguro (/etc/ssh/sshd_config) #

1
2
3
4
5

Port 2222
PermitRootLogin no
PasswordAuthentication no
AllowUsers admin
Protocol 2

⚡ Hardening Avanzado #

Kernel Hardening (/etc/sysctl.d/99-hardening.conf) #

1
2
3
4

kernel.kptr_restrict = 2
vm.swappiness = 10
net.ipv4.icmp_echo_ignore_all = 1
fs.protected_hardlinks = 1

1

sudo sysctl -p

Control de Procesos (cgroups v2) #

1

sudo grubby --update-kernel=ALL --args="systemd.unified_cgroup_hierarchy=1"

Detección de Intrusos (AIDE) #

1
2
3

sudo dnf install aide -y
sudo aideinit
sudo aide --check

📋 Tabla de Comandos Esenciales #

ComandoDescripción
auditctl -lListar reglas de auditoría
sestatusVer estado SELinux
firewall-cmd –list-allReglas de firewall
lastbIntentos de login fallidos

🚨 Solución de Problemas #

“Servicio no funciona después de hardening” #

Verificar logs:

1

sudo journalctl -u nombre_servicio --no-pager

Modo diagnóstico:

1
2

sudo setenforce 0
sudo systemctl stop firewalld

📌 Checklist de Seguridad #

  • Actualizaciones automáticas habilitadas
  • Root login desactivado
  • Partición /tmp con nosuid,noexec
  • Logs centralizados configurados
  • Copias de seguridad automatizadas

📊 Resultados Esperados #

MétricaAntesDespués
Puntuación Lynis<50>85
CVEs conocidos10+0-2
Servicios expuestos5+1-2

📌 Conclusión #

Con esta guía has implementado:

  • Protección a nivel kernel
  • Configuración SSH segura
  • Detección de cambios no autorizados
  • Cumplimiento con CIS Benchmark

💡 Tip profesional: Usa oscap para evaluar automáticamente el cumplimiento CIS:

1
2

sudo dnf install openscap-scanner -y
sudo oscap xccdf eval --profile cis_level2 /usr/share/xml/scap/ssg/content/ssg-almalinux9-ds.xml
Comparte

PatoJAD

Arquitecto de Soluciones

Soy Arquitecto de Soluciones con experiencia en entornos GNU/Linux desde 2012, mi sistema operativo principal. Apasionado por la tecnología, busco crecer profesionalmente sin perder de vista la colaboración y la gratitud. Agradezco a quienes han contribuido a este camino.

PatoJAD