Ciberseguridad · Tecnología · Análisis estratégico
Nodo federado Ingresar Suscribite
Infraestructura Segura

🐧 Cómo funcionan los Directorios de Linux

Ing. David Roco

Ing. David Roco

2 min read
🐧 Cómo funcionan los Directorios de Linux
directorios

Introducción

Cuando administramos servidores Linux en entornos productivos —ya sea en AWS, VPS, contenedores Docker o infraestructura on-premise— entender la estructura de directorios no es opcional: es fundamental para la seguridad, el hardening y la correcta administración del sistema.

Linux organiza todo bajo un único árbol jerárquico que nace en el directorio raíz /.
A diferencia de Windows, no existen letras de unidad (C:, D:, etc.), sino un único sistema de archivos unificado.

En este artículo analizamos cómo funciona cada directorio clave y qué implicancias tiene desde el punto de vista de la seguridad e infraestructura.

📂 Estructura del sistema de archivos Linux

/ – Root (Raíz del sistema)

Es el punto de partida de todo el sistema de archivos.

Desde aquí cuelgan todos los demás directorios.
Un error en este nivel puede comprometer completamente el sistema.

🔐 Recomendación de seguridad:
No otorgar permisos de escritura amplios en rutas que dependan directamente de /.

/bin – Binary

Contiene comandos esenciales del sistema disponibles para todos los usuarios:

  • ls
  • cp
  • mv
  • cat
  • grep

Estos binarios son críticos para el funcionamiento básico.

🔐 En entornos endurecidos (hardening):

  • Verificar integridad con herramientas como AIDE.
  • Restringir modificaciones.
  • Auditar cambios sospechosos.

/sbin – System Binaries

Incluye comandos administrativos:

  • reboot
  • iptables
  • fdisk
  • ifconfig

Normalmente sólo accesibles por root.

🔐 Directorio crítico para seguridad de red y administración del sistema.

/etc – Configuration (El corazón del sistema)

Aquí viven los archivos de configuración:

  • /etc/ssh/sshd_config
  • /etc/fstab
  • /etc/hosts
  • /etc/passwd

Cualquier compromiso aquí impacta directamente en:

  • Autenticación
  • Servicios
  • Arranque
  • Seguridad de red

🔐 Buenas prácticas:

  • Control de cambios.
  • Backup versionado.
  • Restricción estricta de permisos.
  • No dejar credenciales en texto plano.

/home – Usuarios

Contiene los directorios personales de los usuarios:

/home/david
/home/devops

Aquí se almacenan configuraciones personales, claves SSH, scripts, etc.

🔐 Riesgo común:

  • Claves privadas mal protegidas.
  • Permisos 777.
  • Scripts inseguros.

/root – Superusuario

Directorio personal del usuario root.

⚠️ No es lo mismo que /.

Debe mantenerse protegido con permisos restrictivos.

/usr – User System Resources

Aquí se instalan:

  • Aplicaciones
  • Librerías
  • Documentación
  • Binarios secundarios

En servidores modernos, muchas aplicaciones viven aquí.

🔐 En entornos productivos:

  • Evitar instalaciones manuales sin control.
  • Mantener consistencia mediante gestión de paquetes o contenedores.

/var – Variable

Contiene datos que cambian constantemente:

  • Logs → /var/log
  • Colas de impresión
  • Spools
  • Bases temporales

🔐 Desde el punto de vista forense y de ciberseguridad, /var/log es clave.

Aquí se encuentran registros de:

  • SSH
  • Apache / Nginx
  • Fail2ban
  • Syslog
  • Auth.log

Un atacante intentará limpiar estos logs.

/tmp – Temporales

Archivos temporales.

Se borra al reiniciar (en la mayoría de distribuciones).

🔐 Riesgo frecuente:

  • Escaladas de privilegios.
  • Ejecución de payloads temporales.
  • Malware en scripts temporales.

Se recomienda:

  • Montarlo con noexec.
  • Revisar permisos.

/opt – Optional Software

Software instalado manualmente o externo al sistema base.

Ejemplo:

  • Aplicaciones empresariales.
  • Agentes de monitoreo.
  • Software propietario.

🔐 Recomendación:
Mantener inventario actualizado de lo instalado aquí.

🛡️ ¿Por qué esto es clave en Infraestructura Segura?

Entender la estructura de directorios permite:

✔️ Implementar hardening correctamente
✔️ Aplicar controles de acceso (chmod / chown / ACLs)
✔️ Detectar comportamiento anómalo
✔️ Analizar incidentes de seguridad
✔️ Diseñar políticas DevSecOps
✔️ Implementar monitoreo con SIEM

En auditorías forenses, conocer esta estructura permite determinar:

  • Dónde buscar evidencia.
  • Dónde puede persistir un atacante.
  • Qué directorios suelen ser modificados en compromisos.

🎯 Conclusión

Linux no es simplemente un sistema operativo: es una arquitectura lógica organizada bajo un modelo jerárquico diseñado para control, estabilidad y seguridad.

Comprender cómo funcionan sus directorios es el primer paso para:

  • Administrar servidores de forma profesional.
  • Implementar infraestructura segura.
  • Diseñar entornos resilientes.
  • Detectar incidentes tempranamente.

En Malbec Defense creemos que la seguridad comienza entendiendo la arquitectura.

Read more