Actualmente tengo varios servidores Linux en producción y la mayoría de ellos están expuestos a Internet. Esto implica que como cualquier elemento que está expuesto al mundo exterior es susceptible de ser atacado. Por esta razón es importante que intentes reducir al mínimo los posibles puntos de ataque. En este sentido en el episodio 489 titulado Semaphore, ansible y hardening, te hablé del hardening o endurecimiento de un servidor Linux. Esto fue justo después de una charla que impartió Jesús Amorós en Linux Center de la mano de Slimbook, y que te puedo garnatizar que fue de lo mas interesante. Como de costumbre, todo eso me trajo una serie de ideas y soluciones que he ido implementando poco a poco en mis servidores. Sin embargo, esto de servidor, ansible, Semaphore, es posible que te suene lejano e incluso difícil. Por esto cuando descubrí DockerShield, me propuse contarlo para que puedas securizar tu servidor Linux de forma muy sencilla.
¿Tu SERVIDOR Linux es SEGURO? Revisa los puntos críticos con DockerShield
Selfhosted y DockerShield
Si tienes tu servidor expuesto a internet, como te decía en la introducción, es importante que intentes reducir al mínimo los posibles puntos de ataque. En este sentido, si tienes tus aplicaciones selfhosted en contenedores Docker, puedes utilizar DockerShield para revisar los puntos críticos de seguridad de tu servidor Linux.
Si, estoy introduciendo Docker en la ecuación de la seguridad, porque es una pieza fundamental para aquellos que disfrutamos del autoalojamiento y de la soberanía digital.
Y es que Docker omite las reglas de UFW (Uncomplicated Firewall) de Linux, por lo que es importante que tengas en cuenta este detalle a la hora de securizar tu servidor Linux. Docker omite las reglas de UFW al manipular iptables directamente. Con lo que si no tienes cuidado, es muy probable que estés exponiendo puertos y servicios que no deseas.
La forma mas sencilla, hoy en día, de levantar cualquier servicio y exponerlo a internet, es utilizando contenedores Docker. Realmente, con un sencillo docker-compose.yml*, tienes todo lo necesario para levantar un servicio y exponerlo a internet. Esto es fantástico, pero también tiene sus riesgos, ya que si no tienes cuidado, puedes estar exponiendo tu servidor a ataques.
En este sentido, DockerShield te ayuda a revisar los puntos críticos de seguridad de tu servidor Linux, para que puedas tomar las medidas necesarias para protegerlo.
¿Que es DockerShield?
DockerSuleld es una herramienta de código abierto que te permite revisar los puntos críticos de seguridad de tu servidor Linux. DockerShield analiza la configuración de Docker, y de la configuración de Linux, y te proporciona un informe detallado de los posibles riesgos de seguridad.
Se trata de un único binario, ligero, apenas 8 MB, con cero configuración, sin agentes, sin cloud, sin nada. Realmente sencillo de instalar. Tan solo tienes que ejecutar el siguiente comando para realizar la instalación,
curl -sSL https://raw.githubusercontent.com/adrian13508/dockershield/main/install.sh | bashY listo. Ya tienes DockerShield instalado en tu servidor Linux. Ahora puedes comenzar con el primer escaneo de seguridad, y probablemente llevarte la sorpresa, que no todo está tan seguro como pensabas. Simplemente ejecuta,
dockershield scanA partir de aquí tendrás un sencillo resultado que es realmente sencillo de interpretar. Te indicará los puntos críticos que debes revisar para mejorar la seguridad de tu servidor Linux.
- Puntuación de Seguridad (0-100).
- Clasificación de Riesgo: 🔴 CRITICAL (ej. 5432) y 🟡 MEDIUM.
_Solución Inmediata: Mostrar la solución sugerida (por ejemplo limitar el puerto a 127.0.0.1).
Características detallas de DockerShield
DockerShield analiza varios aspectos de la configuración de Docker y del sistema operativo Linux para identificar posibles vulnerabilidades.
- Auditoría de Seguridad de Docker
- Escaneo de Contenedores. Lista todos los contenedores y sus bindings de puertos.
- Análisis Inteligente. Reconoce y marca 50+ puertos peligrosos conocidos (bases de datos como PostgreSQL 5432, MongoDB 27017; interfaces de administración como Portainer 9000, Grafana 3000).
- Monitorización de Firewall. Detecta cuando Docker está bypasseando las reglas establecidas en UFW o iptables.
- Topología de Red. Mapea las redes Docker para entender las relaciones entre contenedores.
- Auditoría de Seguridad del Sistema
- Configuración SSH. Analiza la seguridad de SSH (comprobando si se permite el login de root o la autenticación por contraseña en lugar de solo clave).
- Prevención de Intrusiones. Revisa si fail2ban está instalado, activo y protegiendo servicios clave.
- Parches y Actualizaciones. Informa sobre parches de seguridad pendientes y si se requiere un reinicio.
- Reporting y Automatización
- Clasificación de Riesgo. Asigna categorías CRITICAL/HIGH/MEDIUM/LOW automáticamente.
- Recomendaciones Accionables: Proporciona los comandos exactos para corregir los problemas de seguridad detectados.
- Salida JSON. Genera un formato legible por máquina (dockershield scan –json) para integrarlo en automatizaciones, scripts de salud del servidor o CI/CD.
Uso y funcionamiento de DockerShield
El uso de Dockersield es realmente sencillo. Una vez instalado, puedes ejecutar los siguientes comandos básicos,
- Comandos de Diagnóstico
dockershield status. Resumen rápido y en caché.dockershield check ssh. Auditoría específica de una categoría.dockershield doctor. Diagnóstico del sistema.
- Automatización y Reporting
dockershield scan --json. Para integración en scripts o CI/CD.dockershield upgrade. Sistema de auto-actualización.
En el propio diagnótico, DockerShield te proporciona las recomendaciones necesarias para mejorar la seguridad de tu servidor Linux. Simplemente tienes que seguir las indicaciones que te proporciona. Y realmente es muy sencillo de completar, y además es una guía fantástica para aprender a securizar tu servidor Linux.
Conclusión
Desde luego que te recomiendo que pruebes DockerShield en tu servidor Linux. Es una herramienta fantástica para revisar los puntos críticos de seguridad, y te ayudará a proteger tu servidor de posibles ataques. No pierdas ni un segundo, dedica unos minutos a instalar DockerShield y a realizar el primer escaneo de seguridad. Estoy seguro de que te sorprenderás de los resultados, y de las medidas que puedes tomar para mejorar la seguridad de tu servidor Linux.
Más información,