Escolar Documentos
Profissional Documentos
Cultura Documentos
Gustavo C. Lima
Agenda
S.O.
O Sistema operacional escolhido foi ????? CentOS 6.2 64bits mas, e o lance de opensource versus servidor RedHat (suporte pago) (ex...) ????? Antes de mais nada, voc j atualizou o seu ambiente ? Quais repositrios voc utilizou ? Este servidor instalado ser o que mesmo ? Bind Web MySQL E-mail Servidor de Counter-Strike O que pode rodar e o que no pode rodar no seu servidor? Instalao boas prticas vamos l Rede ela j foi configurada ?
Agenda
S.O ... 2
Resolvido o que o servidor ser, est na hora de comear a instalar os pacotes ? No, vamos procurar pelo que est errado primeiro.... Usurios desnecessrios Permisses desnecessrias Utilizar ou no utilizar huge pages, eis a questo ? Desabilitando servios desnecessrios Remoo de pacotes desnecessrios
Vulnerabilidade
Download do S.O.
Repositrios de Pacotes
http://packages.sw.be/rpmforge-release/rpmforgerelease-0.5.2-2.el6.rf.x86_64.rpm ftp://rpmfind.net/linux/epel/6/x86_64/epel-release-6-5.noarch.rpm Sendo este ltimo de fud. http://www6.atomicorp.com/channels/atomic/centos/6/x86_64/RPMS/ atomic-release-1.0-14.el6.art.noarch.rpm Repositrio do Atomic Linux uma srie de pacotes focados em segurana
Atualizao do ambiente
Repositrios preparados, vamos ento para atualizao de pacotes Yum update na cabea Antes de dar Yes, que tal olharmos o que ser instalado Tudo ok ? Ento vamos ao yes.. Finalizado ok, mas devo ou no colocar algo na crontab do tipo * 23 * * * /usr/bin/yum update y ??????
service --status-all
noexec - Do not set execution of any binaries on this partition (prevents execution of binaries but allows scripts). nodev - Do not allow character or special devices on this partition (prevents use of device files such as zero, sda etc). nosuid - Do not set SUID/SGID access on this partition (prevent the setuid bit).
Continuao...
Tuning S.O Kernel Systcl.conf Kernel Patch Todos os pacotes instalados
Ferramentas
Precisa de mais ?
Ferramentas - ALL
Nmon / htop
Ferramentas - Rede
IFTOP
Memory - Cache
[root@host]# echo 1 > /proc/sys/vm/drop_caches To free dentries and inodes: [root@host]# echo 2 > /proc/sys/vm/drop_caches To free pagecache, dentries and inodes: [root@host]# echo 3 > /proc/sys/vm/drop_caches
Oracle
Oracle...2
Huge Pages
Shared Memory
Shared Memory
Hardening SSH
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bkp
/etc/motd
Hardening LES
LES ( Linux Environment Security )
cd /usr/local/src wget http://www.r-fx.ca/downloads/lescurrent.tar.gz tar -zxvf les-current.tar.gz cd les-0.* ./install.sh rm -Rf /usr/local/src/les* /usr/local/sbin/les /usr/local/sbin/les ea Options: -da | --disable-all Disable all options -ea | --enable-all Enable all options -sb | --secure-bin Set root only execution of critical binaries -sp | --secure-path Set root only traversal of critical paths -sr | --secure-rpmpkg Set immutable on core rpm package binaries -so | --secure-prof Set immutable on interactive login profiles -sd | --secure-devel Set access to devel utils for group deva & root