Saltar al contenido
EdgeServers
Blog

Checklist de endurecimiento de Ubuntu Server 24.04 en fresh-install

16 de mayo de 2026 · 1 min de lectura · por Sudhanshu K.

Cada host Ubuntu 24.04 que se une a nuestra flota gestionada pasa por el mismo paso de endurecimiento antes de permitir que aterrice ninguna carga. Los defaults de la imagen cloud son decentes — no eran decentes hace cinco años — pero «decente» no es un baseline de seguridad. Hay un pequeño conjunto de cambios que desplazan materialmente el modelo de amenaza, y un conjunto aún más pequeño de adiciones que atrapan el raro incidente cuando algo se cuela igual.

Esta es la checklist que ejecutamos como rol Ansible en cada nuevo host.

La pasada de la primera hora

# SSH — solo claves, restringir ciphers, deshabilitar root + password
sed -i 's/^#PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
sed -i 's/^#PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
cat >> /etc/ssh/sshd_config.d/00-hardening.conf <<EOF
KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
EOF
systemctl restart ssh
 
# UFW — deny por defecto, permitir solo lo necesario
ufw default deny incoming
ufw default allow outgoing
ufw allow from <bastion-cidr> to any port 22
ufw enable
 
# fail2ban — jail de fuerza bruta SSH
apt install -y fail2ban
systemctl enable --now fail2ban

Tras esto, el host es alcanzable solo vía el bastión, solo con claves SSH, solo en ciphers modernos.

El artículo completo cubre:

  • Perfiles AppArmor en modo enforce (los defaults que deberían estar activos)
  • Configuración de auditd — integridad de ficheros para /etc, /usr/sbin, monitoreo de syscalls
  • La pasada de endurecimiento de sysctl del kernel (net.ipv4.tcp_syncookies, rp_filter, etc.)
  • needrestart para pillar librerías que necesitaban reinicio tras upgrade
  • chrony para sincronización de tiempo (porque Kerberos y TLS dependen de ello)
  • El beacon de inventario que auto-registra el host con nuestra gestión de config

Ejecutamos esta checklist en cada host Ubuntu 24.04 el día cero.

Artículo completo disponible

Leer el artículo completo