Saltar a contenido

Security State

Lectura ejecutiva de seguridad al 2026-06-01.

Estado rapido

  • secretos en Git: VERDE
  • OpenClaw sin puertos directos al host: VERDE
  • NPM como punto unico de publicacion: VERDE
  • Portainer con puertos publicados y privilegio alto sobre Docker: VERDE
  • validacion formal nueva de vulnerabilidades: VERDE
  • inventario de servicios expuestos: VERDE
  • SSL vigente y revisado formalmente: VERDE
  • puertos publicos alineados con governance: VERDE

Posibles riesgos de seguridad

  • Portainer publica 8000/9443 y usa docker.sock
  • NPM publica 81, que es un puerto administrativo sensible
  • OpenClaw tiene una UI publica, aunque no expone su backend directo al host
  • persiste warning de duplicacion en ubuntu-mirrors.list, aunque no bloqueo la ventana de parches

Revision formal 2026-06-01

  • SSL: Let's Encrypt YE1 valido hasta 2026-08-27 11:54:33 GMT
  • puertos publicos alcanzables: 22, 80, 81, 443, 8000, 9443
  • alineacion documental: EXPOSED-SERVICES.md, PORTS.md y FIREWALL-POLICY.md coinciden con lo observado
  • controles presentes: ufw active, fail2ban con jail sshd, OpenClaw sin puertos host directos
  • updates Ubuntu: ventana ejecutada con kernel 6.8.0-117 -> 6.8.0-124; sin paquetes pendientes al cierre de esta corrida
  • clasificacion final: riesgo medio controlado, sin hallazgo critico nuevo y sin deriva no documentada

Ventana de parches 2026-06-01

  • backup previo validado: /root/openclaw-backups/daily/20260531-030002
  • parches aplicados: linux-headers-generic, linux-headers-virtual, linux-image-virtual, linux-libc-dev, linux-tools-common, linux-virtual
  • reboot: controlado y recuperado por SSH
  • validacion posterior: HTTPS publico de OpenClaw 200, upstream NPM 200, Portainer local 200, puertos publicos 22, 80, 81, 443, 8000, 9443 alineados
  • decision: riesgo por kernel pendiente mitigado; queda solo deuda menor de higiene en apt sources

Como revisar riesgos de seguridad

  1. mirar servicios expuestos en EXPOSED-SERVICES.md
  2. revisar puertos en ../catalog/PORTS.md
  3. revisar actualizaciones pendientes
  4. revisar backups antes de cualquier parche
  5. revisar cambios recientes en Docker, NPM, Portainer u OpenClaw

Que hacer si aparece un riesgo nuevo

  • clasificar si es urgente o planificable
  • no exponer mas cosas mientras no haya plan
  • preparar ventana de cambio si hace falta parchear
  • usar PATCHING-RUNBOOK.md si el camino es actualizar