Publicado: 2026-05-06
Etiquetas: Linux
Buenos días, tardes o noches:
Llevo usando Ubuntu muchos años. Prácticamente desde que salió. Cuando enviaban los CDs gratis a casa. Y pensaba que lo conocía bien pero hace poco descubrí una herramienta de seguridad que creo que tan útil como desconocida: Ubuntu Security Guide (USG).
usg es un comando que configura automáticamente literalmente cientos de medidas de seguridad en el sistema. Tarda horas pero al terminar nos deja un ordenador en teoría más seguro frente a ataques internos y externos. Los cambios van desde pequeñas cosas como configurar la pantalla de pedir la contraseña para que no muestee la última cuenta que ha iniciado sesión hasta cambiar características del kernel para evitar accesos no deseados.
Lo malo de usg es que para usarlo necesitamos tener una suscripción Ubuntu Pro. Que para uso personal es gratuita proporcionando una dirección de email así que no debería haber problema pero pienso que las cosas de seguridad deberían estar accesibles para todo el mundo. No me gusta eso.
Para usarlo hay que activarlo en Ubuntu primero y luego instalarlo.
sudo pro enable usg
sudo apt install usg usg-benchmarks-1
Tenemos que elegir qué perfil de seguridad implementar: cis_level1_workstation, cis_level1_server, cis_level2_workstation o cis_level2_server. El nivel 1 es algo más laxo que el 2. Yo apliqué el cis_level1_workstation a mi portátil. Cuando tenga tiempo y ganas para actualizar mi servidor casero le pondré cis_level1_server. Si tuviera un servidor público accesible desde internet elegiría cis_level2_server.
Una vez elegido el nivel hay que hacer una auditoría del sistema con sudo usg audit cis_level1_workstation. Obviamente poniendo el perfil elegido. Esto genera un fichero XML con todas las configuraciones, cuáles ya tenemos y cuáles vamos a aplicar. Podemos revisar los cientos de cambios y quitar los que no nos interesan pero la lista era demasiado larga y muchas cosas no las entendía acepté todo lo salía.
Para aplicar el perfil elegido hay que usar el comando sudo usg fix cis_level1_workstation. Si hemos personalizado lo que queremos configurar en el apartado anterior hay que pasar el fichero como argumento pero como yo no lo hice no puedo contar mucho más. En la documentación que he enlazado arriba está explicado.
A mí me tardó casi un día en completar. Se quedó muchas horas en un apartado específico. No recuerdo ahora el nombre pero estuvo allí mucho rato. En el monitor del sistema no parecía que estuviera haciendo nada así que pensaba que se había quedado congelado. Maté el proceso y lo volví a intentar pero se quedó en el mismo sitios. Al final parece que era normal y solo había que esperar.
En fin, si tienes Ubuntu y no te importa dar un email a Canonical para hacerte Ubuntu Pro, te recomiendo que apliques uno de estos perfiles para aumentar la seguridad de tu sistema. Seguramente haya algo así para otras distribuciones de Linux.