Scripting i hardening de sistemes: guia completa per reforçar servidors

Informatec Digital » Recursos » Scripting i hardening de sistemes: guia completa per reforçar servidors

Enfortir un sistema ja no és opcional: qualsevol servidor exposat a Internet, ja sigui en un CPD tradicional o en el núvol, es converteix en un objectiu en qüestió de minuts. El hardening i el scripting van de la mà: sense automatització és gairebé impossible mantenir els mateixos nivells de seguretat a tots els equips amb el pas del temps.

Quan parlem de “scripting hardening de sistemes” ens referim a combinar guions (bash, powershell, eines d'automatització, etc.) amb bones pràctiques de bastionat per reduir al màxim la superfície d'atac. No es tracta de posar pegats sense criteri, sinó de seguir una metodologia clara, donar suport a estàndards (CIS, DISA STIG, ISO 27002…) i convertir aquestes decisions en scripts repetibles que puguem aplicar, provar i monitoritzar.

Què és el hardening de sistemes i per què tant importa

Al món de la ciberseguretat es parla de hardening, bastionat, enduriment o enfortiment per referir-se a totes les accions destinades a minimitzar els vectors datac en sistemes operatius, aplicacions, xarxes, bases de dades o dispositius. Els fabricants solen lliurar els seus productes “oberts” perquè tot funcioni a la primera, però això implica serveis innecessaris actius, configuracions febles i opcions que prioritzen la comoditat davant de la seguretat.

L'objectiu del bastionat és portar cada sistema a un estat on només estiguin habilitades les funcions estrictament necessàries, amb controls d'accés adequats, serveis limitats, xifratge on apliqui i una monitorització que permeti detectar canvis indeguts. Cada component (servidor, base de dades, dispositiu IoT, mòbil…) necessita el seu propi enfocament i polítiques específiques segons el rol, l'entorn (producció, preproducció, laboratori), versió i criticitat.

En els darrers anys, el hardening s'ha tornat un requisit formal en regulacions i marcs de compliment de tota mena. Normes i guies com CIS Benchmarks o DISA STIG ofereixen recomanacions detallades per a sistemes concrets. Les organitzacions que volen complir amb ISO 27001, ENS, PCI-DSS o altres esquemes similars necessiten documentar i aplicar polítiques de bastionat coherents, revisar-les i demostrar que es mantenen en el temps.

Més enllà del paper, un bon hardening té impacte directe en incidents reals: redueix el nombre de portes obertes, complica el moviment lateral d'atacants, limita l'escalada de privilegis i, sobretot, fa molt més difícil que una fallada puntual es converteixi en una bretxa greu.

Principis clau darrere del bastionat de sistemes

Tot projecte seriós d'enduriment es recolza en pocs principis ben coneguts, que després es tradueixen en polítiques, scripts i controls tècnics. Els quatre pilars més habituals són la mínima exposició, la defensa en profunditat, el mínim privilegi i lenfocament de confiança zero.

El principi de mínima exposició consisteix a deixar visibles només els components, serveis i ports indispensables. Qualsevol funcionalitat que no s'utilitzi o no sigui essencial s'hauria de deshabilitar o, si més no, limitar-se a xarxes internes ben controlades. Cada servei actiu representa un possible vector d'intrusió, així que el primer pas del hardening sol ser fer inventari i apagar allò “sobrant”.

La defensa en profunditat planteja la seguretat per capes: tallafocs en xarxa, controls d'accés al sistema operatiu, xifrat en trànsit i en repòs, monitorització d'integritat, auditoria de canvis, etc. La idea és que, encara que una capa falli o es vegi compromesa, hi hagi altres capes que frenin o dificultin l'avenç d'un atacant i redueixin l'impacte.

El principi de mínim privilegi implica que usuaris, processos i serveis només disposin dels permisos estrictament necessaris per exercir la seva funció. Això afecta tant comptes humans com comptes de servei, dimonis del sistema, aplicacions web o scripts automatitzats. Reduir privilegis inutilitza moltes tècniques d'escalada que depenen de permisos excessius o de configuracions laxes.

Finalment, l'enfocament de confiança zero (zero trust) abandona la idea que alguna cosa és fiable per estar “dins de la xarxa” o “darrere del tallafocs”. Cada usuari, dispositiu i servei s'ha d'autenticar, autoritzar i registrar la seva activitat, restringir accessos per context (origen, moment, tipus d'operació) i traçar qui fa què a cada moment.

Bastionat pràctic en sistemes Linux amb scripts de bash

Linux és omnipresent en servidors, contenidors i moltes plataformes IoT (veure les millors distribucions de Linux per a servidors), així que és lògic que una gran part dels projectes de hardening se centri en aquest entorn. Automatitzar el bastionat amb scripts de bash és una pràctica habitual quan no es permet fer servir eines com Ansible, Puppet o similars, o quan es busca un primer nivell d'enduriment ràpid.

En un escenari típic, es parteix d'un servidor acabat d'instal·lar (ja sigui al núvol o en una infraestructura pròpia) i es dissenya un conjunt d'scripts que configuren des del tallafocs fins a les polítiques de contrasenyes, passant per la desactivació de serveis i la instal·lació de paquets de seguretat. Una llista de verificació freqüent inclou tasques com utilitzar SSH segur, crear un usuari amb sudo, habilitar un tallafoc bàsic, desplegar fail2ban, activar SELinux o AppArmor, endurir el kernel i mantenir tot actualitzat.

Entre les accions clàssiques de hardening a Linux, una de les primeres és assegurar l'arrencada del sistema. Des de la BIOS o UEFI se sol recomanar deshabilitar l'arrencada des de dispositius externs (USB, discos externs, etc.) i bloquejar el canvi de dispositiu d'arrencada sense credencials. Del costat del sistema operatiu, protegir el carregador (com GRUB) amb contrasenya, habilitar Arranjament segur i evitar iniciar sessió directament com a root són mesures gairebé obligatòries.

Un altre element central és la gestió d'usuaris i grups. És crucial definir permisos coherents sobre fitxers i directoris, especialment en fitxers de sistema, configuracions del nucli o binaris sensibles. L'habitual és que aquests tinguin permisos molt restringits per a altres usuaris, permetent només allò estrictament necessari perquè el sistema funcioni. Els fitxers personals d'usuari també haurien de limitar l'accés a tercers, ajustant la màscara per defecte (umask) en fitxers com “/etc/bash.bashrc” o “/etc/profile” per evitar que nous fitxers es creïn amb permisos excessivament oberts.

En aquest context, es recomanen eines com SELinux o AppArmor per establir polítiques de control d'accés obligatori que vagin més enllà dels permisos tradicionals Unix. Aquestes tecnologies permeten definir quines accions pot realitzar cada procés, fins i tot si ha estat compromès, reduint molt la capacitat de dany d'un exploit o codi maliciós.

La configuració de l'accés és un altre pilar. A Linux és habitual forçar el canvi periòdic de contrasenya, tant per a usuaris concrets com per al conjunt del sistema, mitjançant ordres com “passwd” o “chage”. Es poden definir requisits de contrasenyes segures, caducitat i reutilització de contrasenyes anteriors, així com forçar els usuaris a canviar-les en el següent inici de sessió. Per a accions globals, es combinen utilitats com awk i xargs per recórrer el fitxer /etc/shadow i aplicar polítiques d'expiració a tots els comptes.

Pel que fa a serveis, la regla bàsica és desactivar tot allò que no tingui un propòsit clar en producció. Cada organització ha danalitzar quins dimonis i serveis són imprescindibles per al rol del servidor. Protocols antics i insegurs com telnet, rsh, rlogin o certs servidors FTP s'haurien d'eliminar o substituir per alternatives xifrades com SSH o SFTP. Si un servei arrossega vulnerabilitats conegudes sense pegat disponible, moltes vegades el més prudent és deshabilitar-lo fins a poder actualitzar-lo.

Els sistemes de fitxers també juguen un paper al bastionat. A Linux se solen usar variants Ext (Ext2, Ext3, Ext4), sent Ext4 l'opció preferida per les millores en rendiment i seguretat. Entre d'altres avantatges, incorpora verificacions d'integritat, una millor gestió d'errors i capacitats que ajuden a minimitzar danys per corrupció o manipulacions indegudes. En entorns exigents es combinen aquestes característiques amb particions separades per a /home, /var, /tmp, etc., aplicant opcions de muntatge restrictives.

Seguretat de xarxa, firewall i actualitzacions a Linux

Una part crítica del hardening en qualsevol sistema és tot allò relacionat amb la xarxa. En un entorn Linux ben endurit es cuida especialment la configuració de SSH, l'ús de VPN, la implantació de sistemes de detecció d'intrusions i la protecció mitjançant tallafocs a nivell d'amfitrió i xarxa.

En el cas de SSH, es recomana prioritzar l'ús de claus públiques davant de contrasenyes, deshabilitar l'inici de sessió directe de root, limitar els usuaris autoritzats i, quan sigui possible, canviar el port per defecte per reduir el soroll d'escaneigs automatitzats. A més, es poden fer servir llistes de control d'accés, mecanismes de doble factor i eines com fail2ban per bloquejar IPs que mostrin patrons de força bruta.

Les VPN permeten encapsular el trànsit sensible a túnels xifrats. Tecnologies com OpenVPN o L2TP/IPSec són habituals en entorns Linux, mentre que PPTP, encara compatible, sol considerar-se menys segura. La gestió d'aquestes connexions es pot simplificar amb eines gràfiques com Network Manager, però el principi subjacent és que els serveis d'administració remota o aplicacions crítiques no haurien d'exposar-se directament a Internet si es poden protegir després d'una VPN.

Els IDS/IPS (sistemes de detecció i prevenció d'intrusions) complementen el tallafocs. Opcions com OSSEC, Tripwire o AIDE permeten monitoritzar la integritat de fitxers, detectar canvis sospitosos i alertar de patrons d'atac, i per a anàlisi de trànsit s'usen eines com Wireshark. Aquests sistemes es combinen amb polítiques de logging per tenir una visió coherent del que passa al servidor.

Quant al firewall, a Linux les eines clàssiques han estat iptables i, més recentment, nftables o frontends com UFW. La filosofia sempre és la mateixa: model de denegació per defecte (“tot tancat”) i només s'obren explícitament els ports requerits (per exemple, 80/443 per a HTTP/HTTPS i el port d'administració sota condicions estrictes). Cada regla ha de tenir un motiu clar i, en entorns més avançats, es combinen firewalls a nivell de host amb controls en dispositius perimetrals o al mateix núvol.

Un altre bloc essencial és el de les actualitzacions de programari. Mantenir el nucli i els paquets al dia, usant gestors com apt, yum o dnf, redueix considerablement l'exposició a vulnerabilitats conegudes i explotacions massives. Això no es limita al sistema operatiu: components com a controladors, mòduls externs i middleware també necessiten pegats periòdics. En alguns casos és recomanable requerir controladors signats i validar sempre la procedència dels paquets per evitar la introducció de rootkits o binaris maliciosos.

La configuració de logs i auditoria tanca el cicle de seguretat. Ajustar syslog o journald per retenir esdeveniments rellevants, enviar logs a un servidor central i definir quines accions s'auditen (canvis de permisos, accessos fallits, modificacions en fitxers crítics, etc.) és clau per detectar incidents i reconstruir què ha passat. Serveis com a auditd o paquets d'auditoria específics en diferents distribucions ajuden a registrar operacions sensibles del sistema.

Etapes d´un projecte de hardening professional

L'enduriment de sistemes no consisteix a llançar un script i oblidar-se'n. Els projectes seriosos segueixen diverses fases ben diferenciades: planificació, proves, aplicació, verificació i monitorització contínua. Saltar-se'n alguna sol acabar en interrupcions de servei o en configuracions que ningú no s'atreveix a tocar després.

La primera fase és planificar la intervenció. Aquí es delimita l'abast (quins sistemes, quins entorns), s'identifiquen propietaris i parts interessades, s'estimen finestres de manteniment i es dissenya una línia base de configuració per a cada tipus de component (servidors web, aplicacions, bases de dades, sistemes encastats, etc.). També es determina quins estàndards o benchmarks se seguiran.

Després toca identificar components i serveis crítics. Cal entendre quines funcionalitats del sistema són imprescindibles per al negoci i quines es poden deshabilitar o limitar. Sense aquesta claredat, és fàcil trencar serveis en producció en aplicar blindatges massa agressius que, encara que “segurs”, impedeixen l'operativa diària.

Un pas obligatori abans de canvis importants és fer còpies de seguretat completes i, si és possible, captures de configuració. Això permet tornar enrere si alguna modificació provoca errors seriosos o incompatibilitats. Moltes organitzacions se salten aquest punt per presses i després descobreixen que revertir manualment un bastionat mal plantejat és gairebé impossible.

La fase de proves en entorns controlats sol ser la més complexa i costosa en temps. S'intenta reproduir la xarxa de producció en un laboratori o entorn de preproducció, s'apliquen les polítiques de hardening i se n'avalua l'impacte: què es trenca, quines regles generen incompatibilitats, quins serveis deixen de respondre. Aquesta iteració ajuda a refinar les directives abans de portar-les a sistemes reals.

Un cop polides les polítiques, arriba la fase de aplicació i compliment. Aquí entren en joc scripts, eines de configuració i solucions d'automatització per desplegar canvis de manera controlada i homogènia. És un moment propens a errors humans si es fa manualment, per això la importància de l'scripting i de les plataformes de gestió de configuració.

Després del desplegament, és obligat avaluar el resultat del bastionat mitjançant proves funcionals (per verificar que el sistema segueix fent el que cal) i tests de seguretat (escanejos de vulnerabilitats, revisions de ports, comprovació de polítiques, etc.). Qualsevol desviació rellevant es documenta i s'ajusten les directives segons allò que s'hagi observat en producció.

La darrera peça és la monitorització contínua. Les xarxes canvien, s'afegeixen i es retiren servidors, s'instal·len noves aplicacions i les persones modifiquen configuracions. Sense un sistema que supervisi la deriva respecte a la línia base (què s'ha tocat, qui ho ha tocat, quan s'ha tocat), la postura de seguretat torna a poc a poc a l'estat inicial. La monitorització també ha d'incloure alertes davant de canvis sospitosos o no autoritzats.

Tipus de hardening: sistema, aplicacions, xarxa i més

Quan es parla d'endurir un entorn, és útil distingir diverses capes o àmbits diferents, perquè cadascú requereix controls específics. Entre els més habituals hi ha el hardening del sistema operatiu, aplicacions, xarxa, bases de dades, servidors web, dispositius de xarxa i IoT, sistemes embeguts i dispositius mòbils.

El hardening del sistema operatiu s'ocupa de la base sobre la qual corren la resta de serveis. Inclou la desactivació de funcionalitats innecessàries, regles de tallafocs, gestió de comptes i grups, permisos sobre fitxers i directoris, aplicació de pegats, polítiques de contrasenyes i auditoria. És el primer nivell que cal abordar a servidors Linux, Windows o altres sistemes.

El bastionat d'aplicacions se centra en com estan configurats i actualitzats els programes concrets que s'executen en aquests sistemes: servidors de bases de dades, ERP, CRM, aplicacions web, eines d'ofimàtica, etc. Suposa revisar paràmetres de seguretat interns, controls d'accés, xifratge, exposició d'interfícies i proves de seguretat específiques (per exemple, anàlisi estàtica de codi o pentesting d'aplicacions).

El hardening de xarxa engloba tot allò relacionat amb la infraestructura de comunicacions: tallafocs, segmentació de xarxes, controls d'accés a nivell de VLAN o SDN, sistemes de detecció i prevenció d'intrusions, polítiques d'encaminament i protecció de perímetres. Aquí es defineixen, per exemple, quines subxarxes poden parlar entre si, com s'accedeix a sistemes sensibles o com es gestionen les connexions externes.

El hardening de bases de dades apunta a preservar la confidencialitat i la integritat de les dades. Entre les pràctiques més comunes hi ha la reducció de privilegis en comptes de base de dades, el xifratge en repòs i trànsit, la separació d'entorns, la revisió de paràmetres de seguretat per defecte, la protecció davant d'injeccions SQL i l'activació de logs d'auditoria per a consultes i canvis crítics.

El bastionat de servidors web s'especialitza a protegir HTTP/HTTPS i les aplicacions web associades. Implica ajustar la configuració del servidor (Apache, Nginx, IIS…), manejar adequadament capçaleres de seguretat, protegir davant d'atacs com XSS o CSRF, gestionar cookies i sessions de manera segura, limitar informació en missatges d'error i desactivar mòduls o extensions innecessàries.

Els dispositius de xarxa i IoT requereixen el seu propi tractament, començant per canviar credencials per defecte, deshabilitar serveis i ports que no es facin servir, restringir l'accés d'administració, mantenir el microprogramari actualitzat i, en el cas de IoT, controlar estrictament què pot fer cada dispositiu a la xarxa. Molts incidents recents s'han originat en equips aparentment “menors” però exposats amb configuracions febles.

Quant a sistemes embeguts, lenfocament és semblant però més ampli, ja que abasta dispositius integrats en vehicles, electrodomèstics o màquines industrials que no sempre estan connectats a Internet. Aquí el bastionat se centra a controlar el firmware, protegir interfícies físiques i lògiques i gestionar les actualitzacions amb cura per no introduir noves vulnerabilitats.

Finalment, el hardening de sistemes mòbils (smartphones, tablets) implica definir polítiques de seguretat, habilitar xifratge de l'emmagatzematge, gestionar aplicacions i permisos, activar mecanismes d'esborrament remot i protegir l'accés físic mitjançant PIN, biometria o altres mètodes. Sovint es combinen amb plataformes MDM/EMM que permeten aplicar configuracions de manera centralitzada.

PowerShell, pentesting i hardening en entorns Windows

A l'ecosistema Windows, PowerShell s'ha convertit en una eina clau tant per a administradors com per a atacants. Aquest llenguatge, integrat des de versions tan antigues com Windows XP, permet automatitzar tasques d'administració amb flexibilitat enorme: assignar permisos, gestionar serveis, obrir ports, escalar privilegis, programar tasques, extreure hashes de contrasenyes i molt més.

Els ciberdelinqüents han aprofitat aquesta potència i el fet que PowerShell sigui una eina nativa per desenvolupar codi maliciós basat en scripts que s'executa en memòria ia penes deixa rastre en disc, complicant la detecció per antivirus tradicionals. Els darrers anys s'ha observat un creixement exponencial d'amenaces que utilitzen PowerShell, amb increments de diversos centenars per cent en períodes curts, segons estudis de laboratoris de seguretat.

Per entendre les tècniques d'atac que es recolzen a PowerShell, els equips defensius recorren a eines i frameworks de pentesting com PowerShell Empire, PowerSploit o Nishang. Aquests mòduls faciliten tasques com ara evadir antivirus, escalar privilegis, pivotar cap a altres màquines, cercar credencials, establir connexions persistents, injectar scripts en documents ofimàtics, carregar codi en memòria o sortejar polítiques d'execució.

Conéixer aquestes tècniques d'ofensiva és clau per definir mesures de mitigació efectives. Entre les contramesures de hardening específiques per a PowerShell destaquen el ús de modes de llenguatge restringit (Constrained Language Mode), la configuració d'AppLocker o Software Restriction Policies per limitar quins scripts es poden executar, la signatura d'scripts, l'ús de JEA/JIT (Just Enough Administration / Just In Time) per restringir tasques administratives, el xifratge de comunicacions, el mode estricte i la implantació de controls.

Algunes d'aquestes tècniques requereixen coneixements avançats, cosa que ha motivat la creació de aplicacions amb interfícies més amigables que integren tant mòduls datac com de defensa. Aquests projectes, sovint nascuts en contextos acadèmics com a treballs de fi de grau, busquen apropar conceptes de pentesting i hardening a usuaris menys especialitzats, oferint menús intuïtius que guien a través de proves i contramesures en entorns Windows.

Eines per automatitzar hardening, configuració i compliment

El volum i la complexitat dels sistemes moderns fa pràcticament impossible gestionar el bastionat a mà. Per això han sorgit múltiples categories d'eines orientades a automatitzar proves, desplegaments i verificació de polítiques de seguretat: solucions d'automatització de hardening, programes de seguretat informàtica, plataformes de gestió de configuració, escàners de compliment i projectes open source especialitzats.

Les eines d'automatització de hardening cobreixen el cicle complet: proves, aplicació i monitorització. Analitzen l'impacte de canvis de configuració sobre els serveis en producció, ajuden a ajustar polítiques per evitar interrupcions, despleguen regles de manera centralitzada i vigilen la xarxa per detectar desviacions respecte a la línia base. Exemples de solucions comercials en aquest àmbit són CalCom Server Hardening Solution (CHS) o CalCom Security Solution per a IIS, que s'orienten tant a servidors com a middleware específic.

Les eines de gestió de configuració de seguretat (SCM)Segons defineix NIST, permeten controlar l'estat desitjat de sistemes d'informació, aplicar canvis de manera repetible, versionar configuracions, revisar qui ha modificat què, i generar informes sobre la situació actual. Plataformes com Ansible, Xef, Puppet o Microsoft System Center Configuration Manager no es limiten al hardening, però són perfectes per implementar-lo com a codi, integrant-lo en fluxos DevOps o DevSecOps.

Els escàners de compliment se centren a avaluar si un sistema compleix amb un determinat marc de referència (CIS, DISA STIG, guies internes…). Generen informes que indiquen quins controls estan correctament aplicats i on hi ha bretxes. Eines com Tripwire Configuration Manager, Qualys, NNT SecureOps o CIS-CAT Pro permeten visualitzar la postura de seguretat de múltiples actius i prioritzar remeis segons limpacte.

Finalment, hi ha un ecosistema molt ric de projectes de codi obert orientats al hardening, entre els quals es poden trobar plataformes d'automatització com Salt, kits de compliment per a entorns Windows (Microsoft Security Compliance Toolkit), scripts d'auditoria específics (Hardening Auditor) o utilitats com a Windows Exploit Suggester NG per identificar vulnerabilitats en sistemes Windows a partir de la informació de sistema.

Hardening com a sistema: baselines, automatització i auditoria

Més enllà d'eines concretes, les organitzacions que es prenen seriosament el hardening ho tracten com un sistema viu, no com un checklist puntual. Això implica definir baselines per rol de servidor, automatitzar-ne l'aplicació, verificar-ne el compliment i gestionar de forma conscient qualsevol desviació necessària per motius operatius.

A la pràctica, se sol començar per crear línies base específiques per a cada tipus d'actiu: servidors web Linux, nodes d'aplicacions, bases de dades, controladors de dominis Windows, equips d'usuari, dispositius de xarxa, etc. Cada baseline inclou paràmetres de sistema, regles de tallafocs, configuracions de serveis, polítiques de comptes, ajustaments de logging i altres mesures adaptades a aquest rol.

A partir d'aquí, s'utilitzen eines d'infraestructura com ara codi (IaC) i gestió de configuració (per exemple, Ansible o PowerShell DSC) per traduir aquests baselines a codi versionable en dipòsits Git. Els canvis es revisen mitjançant processos de control de versions, se sotmeten a “linting” i proves automatitzades, i es despleguen amb pipelins que deixen evidència de quina versió de la configuració s'ha aplicat a cada entorn.

Després de cada desplegament, s'executen eines d'auditoria com Lynis o OpenSCAP a Linux o escàners de compliment específics per a Windows, pujant els informes a la pròpia plataforma de CI/CD com a artefactes. D'aquesta manera, es documenta l'adherència a les polítiques definides i es facilita la tasca d'auditories externes o revisions de seguretat internes.

Per tancar el cercle, moltes empreses incorporen plataformes de monitorització i detecció com Wazuh, que combinen anàlisis de logs, integritat de fitxers, correlació d'esdeveniments i alertes en temps real. Això permet saber quan apareixen nous serveis escoltant ports imprevistos, canvien permisos de fitxers sensibles o es produeixen patrons d'accés anòmals.

Al llarg de tot aquest procés, el hardening s'alinea amb controls de normes com ISO / IEC 27002, que inclouen la gestió de configuració, l'eliminació de funcionalitats innecessàries, la gestió de vulnerabilitats tècniques o l'autenticació d'usuaris. La idea no és només estar “més segurs”, sinó poder demostrar de manera objectiva que l'organització administra els seus sistemes d'acord amb bones pràctiques reconegudes.

L'enduriment de sistemes, recolzat en scripting i automatització, és una disciplina contínua que combina principis de seguretat, coneixement de les amenaces reals, eines adequades i molt de sentit comú. Reduir la superfície d'atac, controlar acuradament què s'executa i com s'hi accedeix, provar l'impacte de cada canvi i monitoritzar la configuració amb el temps és la manera més efectiva d'evitar que una configuració còmoda però laxa es converteixi a la porta d'entrada d'un incident seriós.