Skip to main content
HashnodeTerminalMente — Linux, IA y Ciberseguridad en españolTerminalMente — Linux, IA y Ciberseguridad en español

Command Palette

Search for a command to run...

Herramientas de Auditoría Recomendadas

Published
3 min read
P
Pietro Miele Cusati

Para un entorno Linux verdaderamente seguro, la terminal nos ofrece utilidades de auditoría profunda que van más allá de una simple configuración inicial. Aquí tienes las imprescindibles:

rkhunter (Rootkit Hunter)

Es la herramienta por excelencia para detectar si tu sistema ha sido comprometido. Analiza el sistema en busca de rootkits, backdoors y exploits locales conocidos.

Instalación: sudo apt install rkhunter -y

Ejecución de auditoría: sudo rkhunter --check

⚠️ Paso crítico post-instalación: Antes de tu primer escaneo real, debes ejecutar sudo rkhunter --propupd. Esto crea el "snapshot" de tus archivos actuales como base de confianza. Si actualizas tu sistema (ej. apt upgrade), recuerda volver a ejecutarlo o rkhunter pensará que tus nuevos binarios son malware.

Uso recomendado: Configuralo como un cronjob para recibir reportes diarios y asegúrate de actualizar su base de datos con rkhunter --update.

Lynis: Auditoría de Hardening

Lynis no solo busca malware, sino que audita toda la configuración de tu sistema (permisos de archivos, configuración de red, SSH, banners, etc.) y te asigna un "Hardening Index".

Instalación: sudo apt install lynis -y

Escanear el sistema: sudo lynis audit system

Valor: Al final del reporte, te dará una lista de "Suggestions" (Sugerencias) y "Warnings" (Alertas) con enlaces a documentación para corregirlos.

💡 Tip de visualización: El reporte de Lynis es enorme. Si quieres ver solo lo que tienes que arreglar sin leer todo el log, usa: grep -E "Warning|Suggestion" /var/log/lynis.log

Monitoreo de Integridad con AIDE

Si alguien modifica un archivo binario del sistema (como /bin/login), AIDE lo detectará comparando el estado actual con una base de datos de firmas creada previamente. Es vital para detectar intrusiones persistentes.

¿Blindaje o Jaula? El dilema del SysAdmin

A raíz del debate en r/esLinux, surgió una duda vital: ¿Qué pasa si auditas tanto tu sistema que terminas bloqueándote a ti mismo?

  • Acceso de respaldo: Si usas AIDE o Lynis para cerrar cada puerto y permiso, asegúrate de tener un método de acceso alternativo (como una consola KVM o una VPN externa) antes de aplicar las sugerencias de endurecimiento del Kernel. No querrás que tu "alarma" te deje fuera de casa.

Reflexión técnica:

Como bien comentábamos en el post anterior sobre SSH, no sirve de nada cerrar una puerta si no tenemos una alarma que nos avise cuando alguien intenta forzar la ventana. Herramientas como Lynis y rkhunter son los sensores que necesitas en tu servidor.

¿Qué otras herramientas de auditoría usáis vosotros? ¿Habéis probado OpenSCAP o preferís scripts propios? Os leo en los comentarios.

post relacionado: Hardening en Linux: 10 pasos esenciales

More from this blog

T

TerminalMente — Linux, IA y Ciberseguridad en español

28 posts