Diseñado y desarrollado por Felipe Román
Web: www.orangebox.cl
Scripts de hardening para servidores Linux basados en estándares de cyberseguridad CIS Benchmarks.
Hola a todos,
Les comparto una colección de scripts para hacer hardening de seguridad en sus servidores Linux. Están pensados para que sean:
- Fáciles de usar: Todos siguen el mismo formato y están escritos en Bash.
- 100% transparentes: Pueden ver el código, modificarlo y adaptarlo a sus necesidades.
- En constante evolución: Vamos a seguir subiendo más scripts, así que pasen de vez en cuando a mirar.
"Tiramos toda la carne a la parrilla" ¡No guardamos secretos!, creemos que la seguridad se construye entre todos, con código abierto y sin vueltas.
Los scripts de hardening asumen que tu Linux está instalado como Dios manda. Si no, pueden fallar o no proteger del todo.
Te dejo este video donde instalamos un servidor Linux seguro paso a paso. Haz esto primero.
Haz clic en la imagen para ver el video
Después de verlo y aplicarlo, recién ahí ejecuta los scripts.
No solo vivimos de scripts. Tenemos un par de lugares donde seguimos hablando de seguridad y servidores:
-
📝 El blog: Acá escribimos con más detalle sobre hardening, Zero Trust, instalaciones seguras y todo acerca de Infraestructura y servidores. → https://www.orangebox.cl/blog/
-
🎥 YouTube: Subimos videos mostrando ataques y cómo defenderte. guías y recomendaciones. → https://www.youtube.com/@OrangeBoxLinux
-
🌐 WEB: Nuestra empresa! → https://www.orangebox.cl
Si necesitan algo en particular o tienen una idea para mejorar estos scripts, déjennos un comentario en nuestro canal de YouTube. Allí también encontrarán varios videos explicando cómo se hacen algunos ataques y, lo más importante, cómo protegerse de ellos.
Gracias por ser parte de esta comunidad!
— Felipe Román www.orangebox.cl
| Script | Función | README |
|---|---|---|
post-install.sh |
Ejecutar primero, son los primeros pasos después de instalar un Linux | README |
bash-hardening.sh |
Asegurar la bash, profiles, history, aliases, etc. | README |
cis-benchmark-check.sh |
Prueba de cumplimiento CIS, con mitigaciones | README |
ssh-hardening.sh |
Hardening de SSH basado en CIS | README |
ssh-hardening-complete.sh |
Hardening de SSH basado en ssh-audit | README |
password-hardening.sh |
Políticas de contraseñas | README |
grub-hardening.sh |
Hardening para GRUB | README |
FS-hardening.sh |
Sistema de archivos | README |
sudo-hardening.sh |
Hardening de sudo | README |
auditd-hardening.sh |
Auditoría del sistema | README |
selinux-secure-setup.sh |
Configuración SELinux | README |
kernel-hardening.sh |
Parámetros de kernel | README |
network-hardening.sh |
Hardening de red | README |
cron-hardening.sh |
Restricción de cron | README |
disable-usb-storage.sh |
Deshabilitar USB | README |
cpu-hardening.sh |
Mitigaciones CPU | README |
rsyslog-hardening.sh |
Hardening de logs | README |
configure-time-sync.sh |
Sincronización horaria | README |
configure-login-banners.sh |
Banners de login | README |
aide-install.sh |
Monitor de integridad | README |
generate-iptables-rules.sh |
Reglas iptables | README |
audit-listening-services.sh |
Auditoría de servicios | README |
desintalar-paquetes-sin-usar.sh |
Limpieza de paquetes | README |
desintalar-servicios-sin-usar.sh |
Limpieza de servicios | README |
remove-xinetd.sh |
Eliminar xinetd | README |
remove-gui-hardening.sh |
Eliminar GUI | README |
git clone https://github.com/OrangeBox-Labs/Linux-Hardening.git
cd Linux-Hardening
chmod +x *.sh
./ssh-hardening.sh
./ssh-hardening.sh --fix
| Distribución | Versiones | Estado |
|---|---|---|
| Red Hat Enterprise Linux (RHEL) | 7, 8, 9 | Probado |
| CentOS | 7, 8 | Probado |
| Rocky Linux | 8, 9 | Probado |
| AlmaLinux | 8, 9 | Probado |
| Fedora | 38, 39, 40 | Compatible |
NOTA IMPORTANTE: Estos scripts NO son compatibles con Debian, Ubuntu o derivados debido a diferencias fundamentales en:
- Sistema de autenticación PAM (archivos y sintaxis diferentes)
- Gestión de paquetes (apt vs yum/dnf)
- Sistema de seguridad (AppArmor vs SELinux)
- Ubicación de archivos de configuración
MIT