Resultados 1 al 2 de 2

Tema: [HOWTO] Seguridad y optimización del archivo sysctl.conf



  1. #1
    Chapuzillas del montón
    Fecha de ingreso
    15 feb, 19
    Mensajes
    80
    Agradecido: 17

    Post [HOWTO] Seguridad y optimización del archivo sysctl.conf

    Buenas. Pues estoy escribiendo una guía o HOWTO en Español, para mostrar mis conocimientos sobre sysadmin. He estudiado un grado medio de informática y quiero mostrar lo que se. Pues nada mejor, que escribir una guía. Como hoy en día te piden "tituláis" para casi todo y algunos se piensan que los de grado medio no sabemos nada de sistemas y somos unos pringados y todo ese rollo, jaja.

    Esto es una parte de la guía. La guía en sí, se llama: HOWTO: Hardening de servidores CentOS y cPanel & WHM. La guía es bastante larga y de momento llevo unas 26 páginas escritas.

    Aquí la parte de optimización del archivo sysctl.conf

    El archivo sysctl.conf es un archivo importante en GNU/Linux que configura parámetros del kernel y de la red.

    $ mv /etc/sysctl.conf /etc/sysctl.conf.backup`date +%F`

    $ cd /etc/

    $ wget

    Ejecuta sysctl con el parámetro -p para cargar los valores de sysctl desde el archivo por omisión /etc/sysctl.conf

    $ sysctl -p

    # Archivo sysctl.conf, optimizado para conexiones gigabit

    net.core.rmem_max=16777216
    net.core.wmem_max=16777216
    net.ipv4.tcp_rmem=4096 87380 16777216
    net.ipv4.tcp_wmem=4096 65536 16777216
    fs.file-max = 2097152

    En los sistemas Red Hat Enterprise Linux, el rango predeterminado de números de puertos IP permitidos para el tráfico TCP y UDP en el servidor es demasiado bajo para los sistemas 9i y 10g. Oracle recomienda el siguiente rango de puertos:

    net.ipv4.ip_local_port_range = 1024 65000

    # Don't reply to broadcasts. Prevents joining a smurf attack
    net.ipv4.icmp_echo_ignore_broadcasts=1

    # Enable protection for bad icmp error messages
    net.ipv4.icmp_ignore_bogus_error_responses=1

    # Enable syncookies for SYN flood attack protection
    net.ipv4.tcp_syncookies=1

    # Log spoofed, source routed, and redirect packets
    net.ipv4.conf.all.log_martians=1
    net.ipv4.conf.default.log_martians=1

    #
    net.ipv4.tcp_max_syn_backlog = 2048
    net.ipv4.tcp_synack_retries = 3
    net.ipv4.conf.all.rp_filter=1
    net.ipv4.conf.default.rp_filter=1
    net.ipv4.conf.all.accept_redirects=0
    net.ipv4.conf.all.secure_redirects=0
    net.ipv4.conf.all.accept_source_route=0
    net.ipv4.conf.all.send_redirects=0
    net.ipv4.conf.default.send_redirects=0

    El valor net.core.netdev_max_backlog = 2500 significa que como máximo se procesarán 2500 paquetes de los que hay pendientes en la cola de recepción de la tarjeta ethernet cuando llegue la interrupción de que acaba de llegar un paquete de la red. El valor por defecto de este atributo en la mayoría de las tarjetas de red es 300 y sólo debería ser modificado para tarjetas Gigabit o 10Gigabit poniendo el valor 30000. Un valor demasiado grande o pequeño de este atributo puede tener consecuencias nefastas en el rendimiento.

    Probamos la red con iperf:

    $ iperf -s

    PD: La guía que estoy escribiendo es larga de cojones, el indice básico:

    Configurar la BIOS a través de KVM sobre IP
    Actualizar las BIOS de Supermicro a través de IPMI
    Instalar CentOS 7
    Compilar el kernel "Solo cuando no se instala CloudLinux"
    Modificar el archivo /etc/fstab
    Desinstalación de paquetes no usados
    Localización y eliminación de servicios innecesarios
    Seguridad y optimización del archivo sysctl.conf
    Instalación de CloudLinux
    Actualización de paquetes
    Actualización del kernel
    Instalación de KernelCare
    Seguridad de sshd
    Seguridad de /tmp y /var/tmp
    Seguridad de la memoria virtual o swap
    Optimización de discos
    Seguridad de /etc/resolv.conf
    Seguridad de /etc/host (hosts, host.conf, hosts.allow y hosts.deny)
    Automatización de las "Tweak Settings" de cPanel con bash scripting
    Recompilación de Apache (mod_security, eaccelerator, suphp, etc)
    EasyApache
    Permisos de /home/user/public_html
    Seguridad de PHP
    Instalación de Htscanne
    Instalación de mytop
    Instalación de mod_security + Malware Expert: Commercial ModSecurity Rules
    Instalación de plugins para cPanel & WHM
    Optimización de Exim
    Seguridad de FTP
    Instalación de OSSEC
    Instalación de LMD (Linux Malware Detect)
    Instalación de SIM (System Integrity Monitor)
    Instalación de SPRI (System Priority)
    Instalación de Lynix
    Instalación de CSF Firewall
    Optimización de MySQL

    Under construction...

    PD 1: Si veis que falta algo en el índice, acepto aportaciones/mejoras.

    PD 2: Cuando la termine entera, la público en SlideShare en formato PDF.

  2. Los siguientes usuarios han agradecido a limoncellobcn su comentario:


  3. #2
    Rey de los Chapuzas Avatar de Rugamba
    Fecha de ingreso
    08 ene, 14
    Ubicación
    CS
    Mensajes
    996
    Agradecido: 255
    Me apunto por aquí. Buen trabajo y animo con el resto de la guia.

Etiquetas para este tema

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •  

Hacemos uso de cookies propias y de terceros para proporcionar una mejor experiencia de usuario. Al seguir navegando entendemos que acepta nuestra Más información .

Aceptar