• Compra una licencia de Windows 10/11 (10€) u Office (18€) al mejor precio u Office al mejor precio. Entra en este post con las ofertas
  • ¡Bienvenid@! Recuerda que para comentar en el foro de El Chapuzas Informático necesitas registrar tu cuenta, tardarás menos de 2 minutos y te dará valiosa información además de ayudarte en lo que necesites o pasar un rato agradable con nosotros.

[HOWTO] Seguridad y optimización del archivo sysctl.conf

limoncellobcn

Chapucillas
Registrado
15 Feb 2019
Mensajes
80
Puntos
0
Buenas. Pues estoy escribiendo una guía o HOWTO en Español, para mostrar mis conocimientos sobre sysadmin. He estudiado un grado medio de informática y quiero mostrar lo que se. Pues nada mejor, que escribir una guía. Como hoy en día te piden "tituláis" para casi todo y algunos se piensan que los de grado medio no sabemos nada de sistemas y somos unos pringados y todo ese rollo, jaja.

Esto es una parte de la guía. La guía en sí, se llama: HOWTO: Hardening de servidores CentOS y cPanel & WHM. La guía es bastante larga y de momento llevo unas 26 páginas escritas.

Aquí la parte de optimización del archivo sysctl.conf

El archivo sysctl.conf es un archivo importante en GNU/Linux que configura parámetros del kernel y de la red.

$ mv /etc/sysctl.conf /etc/sysctl.conf.backup`date +%F`

$ cd /etc/

$ wget

Ejecuta sysctl con el parámetro -p para cargar los valores de sysctl desde el archivo por omisión /etc/sysctl.conf

$ sysctl -p

# Archivo sysctl.conf, optimizado para conexiones gigabit

net.core.rmem_max=16777216
net.core.wmem_max=16777216
net.ipv4.tcp_rmem=4096 87380 16777216
net.ipv4.tcp_wmem=4096 65536 16777216
fs.file-max = 2097152

En los sistemas Red Hat Enterprise Linux, el rango predeterminado de números de puertos IP permitidos para el tráfico TCP y UDP en el servidor es demasiado bajo para los sistemas 9i y 10g. Oracle recomienda el siguiente rango de puertos:

net.ipv4.ip_local_port_range = 1024 65000

# Don't reply to broadcasts. Prevents joining a smurf attack
net.ipv4.icmp_echo_ignore_broadcasts=1

# Enable protection for bad icmp error messages
net.ipv4.icmp_ignore_bogus_error_responses=1

# Enable syncookies for SYN flood attack protection
net.ipv4.tcp_syncookies=1

# Log spoofed, source routed, and redirect packets
net.ipv4.conf.all.log_martians=1
net.ipv4.conf.default.log_martians=1

#
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 3
net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.accept_redirects=0
net.ipv4.conf.all.secure_redirects=0
net.ipv4.conf.all.accept_source_route=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0

El valor net.core.netdev_max_backlog = 2500 significa que como máximo se procesarán 2500 paquetes de los que hay pendientes en la cola de recepción de la tarjeta ethernet cuando llegue la interrupción de que acaba de llegar un paquete de la red. El valor por defecto de este atributo en la mayoría de las tarjetas de red es 300 y sólo debería ser modificado para tarjetas Gigabit o 10Gigabit poniendo el valor 30000. Un valor demasiado grande o pequeño de este atributo puede tener consecuencias nefastas en el rendimiento.

Probamos la red con iperf:

$ iperf -s

PD: La guía que estoy escribiendo es larga de cojones, el indice básico:

Configurar la BIOS a través de KVM sobre IP
Actualizar las BIOS de Supermicro a través de IPMI
Instalar CentOS 7
Compilar el kernel "Solo cuando no se instala CloudLinux"
Modificar el archivo /etc/fstab
Desinstalación de paquetes no usados
Localización y eliminación de servicios innecesarios
Seguridad y optimización del archivo sysctl.conf
Instalación de CloudLinux
Actualización de paquetes
Actualización del kernel
Instalación de KernelCare
Seguridad de sshd
Seguridad de /tmp y /var/tmp
Seguridad de la memoria virtual o swap
Optimización de discos
Seguridad de /etc/resolv.conf
Seguridad de /etc/host (hosts, host.conf, hosts.allow y hosts.deny)
Automatización de las "Tweak Settings" de cPanel con bash scripting
Recompilación de Apache (mod_security, eaccelerator, suphp, etc)
EasyApache
Permisos de /home/user/public_html
Seguridad de PHP
Instalación de Htscanne
Instalación de mytop
Instalación de mod_security + Malware Expert: Commercial ModSecurity Rules
Instalación de plugins para cPanel & WHM
Optimización de Exim
Seguridad de FTP
Instalación de OSSEC
Instalación de LMD (Linux Malware Detect)
Instalación de SIM (System Integrity Monitor)
Instalación de SPRI (System Priority)
Instalación de Lynix
Instalación de CSF Firewall
Optimización de MySQL

Under construction...

PD 1: Si veis que falta algo en el índice, acepto aportaciones/mejoras.

PD 2: Cuando la termine entera, la público en SlideShare en formato PDF.
 
Me apunto por aquí. Buen trabajo y animo con el resto de la guia.
 
Arriba