Seguridad
Guía Completa: Seguridad en aaPanel
La sección Seguridad de aaPanel permite gestionar y reforzar la protección del servidor contra ataques comunes, accesos no autorizados y amenazas. Incluye firewall, protección contra fuerza bruta, SSH, anti-intrusión y endurecimiento del sistema.
1. Firewall
Controla el acceso de red al servidor. Por defecto, la política es denegar todo (deny), por lo que debes permitir explícitamente los puertos y direcciones IP necesarias.
Opciones generales
- Activar/Desactivar firewall → No se recomienda desactivarlo salvo para pruebas.
- Bloquear ICMP (ping) → Impide que otros dispositivos hagan ping al servidor (mejora la seguridad).
Reglas de Puertos (Port Rules)
Permite o deniega el acceso a puertos específicos.
| Función | Descripción |
|---|---|
| Agregar regla de puerto | Crea una nueva regla |
| Importar reglas | Sube un archivo con reglas |
| Exportar reglas | Descarga las reglas actuales |
| Todas las direcciones / Entrante / Saliente | Filtra por dirección |
| Protocolo | TCP, UDP o TCP/UDP |
| Puerto | Rango 1-65535 |
| Estrategia | Permitir (Allow) o Denegar (Deny) |
| Dirección | Entrante (Inbound) o Saliente (Outbound) |
| IP de origen | Todas o IP específica |
| Estado | Escuchando (Listening) o No escuchando |
Reglas de IP (IP Rules)
Permite o bloquea direcciones IP completas.
| Función | Descripción |
|---|---|
| Agregar regla IP | Nueva regla de IP |
| Bloquear / Liberar | Bloquear (Deny) o permitir (Allow) |
| Dirección | Entrante o Saliente |
| IP de origen | IP a bloquear o permitir |
Reenvío de Puertos (Port Forward)
Reenvía tráfico de un puerto a otro puerto local o remoto (útil para NAT).
| Campo | Descripción |
|---|---|
| Protocolo | TCP o UDP |
| Puerto origen | Puerto que recibe el tráfico |
| IP destino | IP a la que reenviar (o 127.0.0.1 para localhost) |
| Puerto destino | Puerto final |
Reglas por Área (Area Rules)
Bloquea o permite rangos de IP según su país o región (no 100% preciso, usar con precaución).
2. SSH
Configura y protege el servicio SSH.
Configuración básica
- Activar/Desactivar SSH → Se activa automáticamente al reiniciar el servidor.
- Login con contraseña → Permite o prohíbe login con contraseña para root.
- Login con clave → Activa/desactiva autenticación por clave SSH.
- Puerto SSH → Por defecto 22. Cambiarlo reduce ataques automatizados (recuerda abrirlo en el firewall y grupo de seguridad).
- Configuración de login root
- yes (keys + contraseña)
- no (prohibir login root)
- without-password (solo clave)
- forced-commands-only (solo comandos específicos)
Otras opciones
- Restablecer contraseña root
- Ver/descargar clave pública root
- Alarma de login root → Envía notificación cuando root inicia sesión.
Registros de login SSH
- Muestra accesos exitosos y fallidos (IP, puerto, ubicación, usuario, hora).
- Si ves muchos intentos fallidos:
- Cambia el puerto SSH.
- Activa la protección contra fuerza bruta por IP.
3. Protección contra fuerza bruta (Brute Force Protection)
Protege tanto aaPanel como SSH.
- Protección basada en usuario (aaPanel) → Bloquea usuarios tras varios intentos fallidos.
- Protección basada en IP (SSH) → Bloquea IPs tras varios intentos fallidos.
Lista blanca y negra
- Whitelist → IPs que nunca serán bloqueadas.
- Blacklist → IPs bloqueadas permanentemente.
Informes de historial
- Muestra intentos fallidos y IPs bloqueadas.
- Puedes desbloquear IPs o limpiar todo.
4. Acceso al compilador (Compiler Access)
Desactiva el uso del compilador GCC para usuarios específicos (reduce riesgos de explotación).
5. Anti-intrusión (Anti Intrusion)
Registra y bloquea comandos sospechosos ejecutados por usuarios.
- Activar/Desactivar
- Protección por usuario → Activa protección y registro para cada usuario del sistema.
- Lista blanca de procesos → Procesos que no se bloquean aunque estén protegidos.
- Registros de operaciones → Muestra comandos bloqueados.
6. Endurecimiento del sistema (System Hardening)
Protege elementos críticos del sistema operativo.
Proyectos de protección
| Proyecto | Descripción |
|---|---|
| Servicio | Impide añadir/eliminar servicios |
| ENV | Impide modificar variables de entorno |
| Usuario | Impide añadir/eliminar usuarios o cambiar contraseñas |
| Directorio | Protege archivos críticos del sistema |
| Crontab | Impide modificar tareas cron |
| SSH | Protege contra fuerza bruta y registra accesos |
| Procesos anormales | Detecta y termina procesos sospechosos |
Bloqueo de IP
- Agrega IPs bloqueadas para SSH.
- Puedes desbloquearlas manualmente.
Registros de operaciones
Muestra todas las acciones realizadas por el módulo de endurecimiento.
Recomendaciones de Seguridad
- Mantén siempre activado el firewall y configura solo los puertos estrictamente necesarios.
- Cambia el puerto SSH por defecto y desactiva el login con contraseña.
- Activa la protección contra fuerza bruta (tanto para aaPanel como para SSH).
- Usa el endurecimiento del sistema y anti-intrusión para servidores expuestos a internet.
- Revisa regularmente los logs de SSH y de fuerza bruta.
- Mantén aaPanel, el sistema operativo y todos los servicios actualizados.