Saltar al contenido
VDS Panel
VDS Panel
Gestión de servidores
Seguridad 05 Nisan 2026 · 10 dk okuma

Hardening del servidor: protección contra ataques con Fail2Ban, UFW y Pentest

Guía de seguridad completa que explica el uso de Fail2Ban, firewall UFW, refuerzo SSH, limitación de velocidad y escáner pentest integrado para proteger su VPS.

#güvenlik #fail2ban #ufw #pentest #ssh #hardening
VDS Panel
VDS Panel Ekibi
Ürünü geliştiren ekip

Un VPS que usted abre en Internet comienza a escanearse dentro de la primera hora de su establecimiento. Los bots escanean automáticamente puertos como 22 (SSH), 80 (HTTP), 443 (HTTPS), 3306 (MySQL) e intentan conectarse con contraseñas predeterminadas. Si observa su registro, verá miles de intentos fallidos de inicio de sesión el primer día.

En esta guía, explicaremos los métodos para reforzar su VPS a nivel de grado de producción, qué medidas son críticas y por qué, y cómo VDS Panel instala automáticamente estas capas.

Bir bakışta
5-10 dk
Primer intento de ataque
1000+/día
Juicio de fuerza bruta
140+
Número de pruebas pentest
99%
El tráfico de bots está bloqueado

Capas de defensa

La seguridad no es una única herramienta, sino una combinación de múltiples capas:

  1. Capa de red, cerrar puertos innecesarios con Firewall (UFW)
  2. Capa de acceso, solo clave SSH, evita la fuerza bruta con Fail2Ban
  3. Capa de aplicación, límite de velocidad, CSP, HSTS, endurecimiento CORS
  4. Capa de auditoría, registro, seguimiento de auditoría de seguridad, detección de anomalías
  5. Capa Pentest, escaneo de vulnerabilidades, simulación de ataque real

Pasar por alto una sola capa no significa tomar el control completo de su servidor.

Capa 1: cortafuegos UFW

UFW (Uncomplicated Firewall) es la cara fácil de usar de iptables. Por defecto rechaza todas las conexiones entrantes, solo se abren los puertos que usted permite.

P0

Solo se puede acceder a todos los puertos restantes (MySQL, PostgreSQL, Redis, servicios internos del panel) desde localhost. VDS Panel establece esta configuración automáticamente.

Error común: abrir puertos DB

No abra los puertos PostgreSQL 5432 o MySQL 3306 al mundo exterior. Se abre por motivos como “para conexión remota” y los robots inmediatamente comienzan a aplicar fuerza bruta. Utilice un túnel SSH o VPN para la gestión remota.

Capa 2: endurecimiento SSH

La configuración SSH predeterminada es débil. Precauciones básicas:

  1. 01
    Desactivar el inicio de sesión con contraseña
    ContraseñaAutenticación no. en /etc/ssh/sshd_config. Inicie sesión solo con clave SSH. La fuerza bruta se vuelve imposible.
  2. 02
    Desactivar el inicio de sesión root
    PermitRootLogin no. El atacante se ve obligado a adivinar el nombre de la cuenta, sólo para quedarse sin posibilidades de intentar "rootear".
  3. 03
    Cambiar puerto
    Como 2222 en lugar de 22. Los robots automatizados escanean 22 y pierden el puerto alternativo. La seguridad a través de la oscuridad es un reductor de ruido débil pero eficaz.
  4. 04
    Utilice la clave Ed25519
    Ed25519 en lugar de RSA 2048. Más corto, más seguro, más rápido. Se genera con el comando ssh-keygen -t ed25519.
  5. 05
    Activar Fail2Ban
    En caso de intentos fallidos de inicio de sesión, la IP se bloquea automáticamente. Pasemos a la capa 3.

Capa 3: Fail2Ban

Fail2Ban monitorea los archivos de registro y prohíbe temporalmente la IP cuando detecta patrones sospechosos:

  • P0 → SSH falló al iniciar sesión
  • P1 → HTTP 401/403/429 repeticiones
  • Registro de su aplicación personalizada → definiciones de cárcel personalizadas

Comportamiento predeterminado: prohibición de 10 minutos por 3 intentos fallidos de inicio de sesión. Si lo intenta con más frecuencia, se ampliará el período de suspensión.

P1

99%
El tráfico de bots se filtra.
Cuando Fail2Ban + UFW se utilizan juntos, casi todos los intentos automáticos de fuerza bruta quedan prohibidos.

VDS Panel configura automáticamente Fail2Ban con cárceles personalizadas: SSH, autenticación nginx, reglas dedicadas para puntos finales P0, P1.

Capa 4: Seguridad de la aplicación

Las protecciones a nivel del sistema operativo no son suficientes; En su solicitud:

Limitación de velocidad

Límite de solicitudes por punto final:

  • Punto final de inicio de sesión: 10 solicitudes/15 minutos/IP
  • API pública: 100 solicitudes/minuto/IP
  • API de administración: 500 solicitudes/minuto/usuario

En caso de excederse, se devuelve 429 demasiadas solicitudes. El panel aplica límites de velocidad de doble capa en los niveles nginx y backend.

Encabezados de seguridad

P2

Estos desactivan los vectores de ataque comunes como XSS, clickjacking y MIME sniffing. VDS Panel envía estas cabeceras por defecto para cada dominio.

Seguridad JWT

  • Verificación estricta de firmas contra ataques P0
  • Los tokens caducan en 24 horas.
  • El token está en la lista negra al cerrar sesión.
  • Salida forzada con P1

Capa 5: escáner Pentest

Además de los escaneos de configuración estática, VDS Panel incluye un escáner pentest con más de 140 pruebas:

¿Qué escanea Pentest?
  • SSL/TLS: conjunto de cifrado débil, heartbleed, certificado caducado
  • Encabezados HTTP: faltan HSTS, CSP, X-Frame-Options
  • Autenticación: JWT alg=none, iniciar sesión sin protección de fuerza bruta
  • Vectores de inyección SQL
  • Cargas útiles XSS (control de entrada sin procesar)
  • Recorrido de rutas y listado de directorios.
  • CVE conocidos (basados en las versiones de los paquetes instalados)
  • Credenciales predeterminadas (intentos de administrador/administrador)
  • Puertos abiertos (servicio inesperado)

El escáner se ejecuta automáticamente semanalmente, para cada vulnerabilidad que encuentra:

  • Cae en el registro de eventos del panel
  • Se genera el informe HTML
  • Advertencia al administrador si hay una vulnerabilidad crítica

Registro de auditoría de seguridad

El panel registra permanentemente todas las operaciones críticas:

  • Iniciar sesión, cerrar sesión, iniciar sesión fallida
  • Agregar/eliminar usuarios administradores
  • Creando un nuevo proyecto
  • Renovación del certificado SSL
  • Cambio de configuración del panel

Cada registro contiene IP, agente de usuario y marca de tiempo. La cadena completa está disponible cuando se requiere un examen forense.

Actualización automática

Con el paquete Ubuntu P0, las actualizaciones de seguridad se instalan automáticamente:

P3

VDS Panel lo activa automáticamente durante la instalación. Los parches de seguridad críticos y del kernel se instalan mientras el panel está en ejecución y se planifica el reinicio automático cuando sea necesario.

Conclusión

La seguridad del servidor no la proporciona una única “solución milagrosa”. La defensa capa por capa, el firewall, el refuerzo SSH, Fail2Ban, la limitación de velocidad, los encabezados de seguridad, el registro de auditoría y el pentest periódico funcionan juntos.

VDS Panel reduce a minutos las horas que necesitas para instalar manualmente estas capas. Cárceles Fail2Ban, reglas UFW, encabezados de seguridad nginx, más de 140 pruebas de pentest; todo instalado por defecto y monitoreado constantemente.

Para obtener detalles sobre funciones de seguridad, puede visitar la página de inicio u obtener una consulta para su escenario específico desde el formulario de contacto.

Paylaş X LinkedIn E-posta
Contáctenos
Artículos relacionados

También te pueden gustar estos

Seguridad 7 lectura mínima

Certificado SSL Automático: Integración del Panel Let's Encrypt

Obtener un certificado SSL, renovarlo y administrarlo para más de un dominio son tareas manuales. VDS Panel automatiza completamente este proceso con la integración de Let's Encrypt.

empezar a leer
Seguridad 9 lectura mínima

Estrategia de respaldo de VPS y recuperación ante desastres: regla 3-2-1

¿Cómo protege su servidor en escenarios de desastre? Copia de seguridad cifrada automática, regla de copia de seguridad 3-2-1, procesos de prueba y restauración, objetivos RTO y RPO.

empezar a leer

¿Te gustaría probarlo en tu propio servidor?

Contáctenos a través del formulario de contacto y preparemos una licencia + plan de instalación adecuado para su escenario de uso.

Contáctenos Otros artículos
Estaremos aquí cuando estés listo

Experiencia de implementación moderna en su propio servidor, a solo un mensaje de comunicación de distancia.

Permítanos comprender su escenario de uso y preparar la licencia y el plan de instalación adecuados para usted. Nuestro tiempo medio de respuesta es inferior a 24 horas.

Contáctenos Envíame un correo electrónico