
SELinux/AppArmor, CIS benchmarks y cifrado: el Linux de producción se blinda por políticas, no por suerte.
El Linux seguro no es el que no tiene virus: es el endurecido por políticas. SELinux (o AppArmor) en enforcing — el proceso comprometido se queda en su jaula — las baselines CIS aplicadas y medidas (OpenSCAP), el cifrado (LUKS) sobre los datos, SSH reducido al hueso, y las CVE priorizadas por exposición real, no por titular de periódico.


SELinux encendido con método (audit, tuning, luego enforcing): la seguridad que no rompe la aplicación.
OpenSCAP programado sobre el parque: el informe de compliance que guía las remediaciones.
La CVE sobre el servicio expuesto antes que la del paquete inerte: el patching inteligente.
sudo granular, claves rotadas, sesiones registradas: quién hace qué, siempre escrito.
La seguridad Linux se construye por capas: SELinux/AppArmor confinan los procesos (el servidor web comprometido no lee /etc/shadow), auditd registra las syscalls relevantes (la evidencia para el forensics), las baselines CIS/STIG se aplican y se miden con OpenSCAP (el informe de conformidad generado, no declarado), fapolicyd hace el allowlisting de los ejecutables, SSH se blinda (claves, MFA, sin root), el kernel se calibra (sysctl, lockdown); el secreto es la automatización: la baseline en Ansible, el drift medido.
Web y API con la jaula SELinux activa.
Las baselines con las evidencias, generadas por el proceso.
El hardening serio después (o mejor: antes) de la lección.