Saltar al contenido
Linux Starlight

Módulo 7. Seguridad Básica y Cortafuegos

Hasta ahora has aprendido a construir el servidor, instalarle software y ponerlo a trabajar. Ahora, en esta penúltima Clase 7 (alcanzando 28 de 32 horas), aprenderás que Internet es un lugar oscuro y hostil. En el preciso instante en el que conectas una IP pública a tu servidor Debian recién instalado, cientos de bots automatizados desde Rusia, China o Estados Unidos empezarán a bombardear tu puerto 22 intentando adivinar contraseñas del usuario root a un ritmo de 50.000 intentos por segundo.

Un Administrador LFCS no reza para que no lo ataquen. Un Administrador sabe que ya está siendo atacado y configura el bunker asumiendo la mentalidad de “Zero Trust” (Confianza Cero).

Mentalidad LFCS para este módulo

Sección titulada “Mentalidad LFCS para este módulo"
  • El Mínimo Privilegio: Si Nginx solo sirve para escupir páginas web, su demonio jamás debería tener permisos para leer archivos financieros en tu carpeta personal.
  • La Muralla Perimetral: No importa lo seguro que creas que es tu base de datos si te olvidas la puerta (el puerto) abierta al jardín exterior de internet por accidente. Aprenderemos a hacer auditorías visuales y a blindar el sistema bloqueando todo por defecto.

Temas de la Clase 7

Sección titulada “Temas de la Clase 7"

7.1 Principios de Defensa en Profundidad

Sección titulada “7.1 Principios de Defensa en Profundidad"
  • Por qué está prohibido loguearse puramente como root.
  • Defensa física extrema: Cómo ponerle un candado con contraseña al propio gestor de arranque GRUB en el metal para evitar la inyección de consolas de rescate (init=/bin/bash) contra infiltraciones de teclado local.

7.2 Confinamiento Obligatorio (AppArmor)

Sección titulada “7.2 Confinamiento Obligatorio (AppArmor)"
  • Por qué los permisos chmod 777 clásicos (“Discretionary Access Control”) fracasan si el propio demonio es hackeado.
  • Introducción al Mandatory Access Control (MAC).
  • Cómo el kernel de Debian aísla y escuda programas en cubos independientes vigilando sus perfiles con AppArmor (aa-status, enforce).

7.3 Radiografía de Puertos (SS y LSOF)

Sección titulada “7.3 Radiografía de Puertos (SS y LSOF)"
  • Entender el concepto de “Demonios en Escucha” (Sockets, Puertos TCP/UDP).
  • Rastrear intrusos o servicios expuestos peligrosamente con el legendario analizador moderno ss -tulpn.

7.4 El Cortafuegos (UFW)

Sección titulada “7.4 El Cortafuegos (UFW)"
  • La locura ilegible de iptables y su salvador en Debian: Uncomplicated Firewall (ufw).
  • Denegación estricta por defecto.
  • Perforando huecos específicos y seguros (ufw allow 80/tcp).
  • Defensa activa contra ataques masivos de diccionario a tu servidor usando contramedidas limitadoras de fuerza bruta (ufw limit ssh).

All rights reserved casset.cat ©