Queridisimos hippies, vamos con la segunda entrega(Alpha, sin revisar, con dos cojones!) de la "Mini Guia buenas practicas GNU/Linux" Parte II.
2.- Breves notas sobre seguridad.
2.1 Acceso Fisico.Es obvio que por mucho empeño que pongamos en "fortificar" nuestra maquina ante ataques externos y posibles intrusos, la seguridad fisica suele ser un punto que pocos SysAdmin tienen en cuenta.Entre las inumerables recomendaciones hago incapie en:
2.1.1 Acceso a Rack. Control de accesos a la maquina/maquinas en cuestion.Tener un control sobre el numero de llaves,tarjetas de acceso y titulares de las mismas,garantiza el NO ANONIMATO y depuracion de responsabilidades en caso de desastre.La utilizacion de camaras IP o videovigilancia nos alertara del uso indebido de HD Externos o Pendrives.Hoy en dia una solucion de camara IP es muy asequible, pudiendo adquirir modelos con relacion calidad-precio mas que aceptable por menos de 200 euros.La conexion a una central de alarmas en caso de "opertura dil cremallero" nos es descabellada.
En caso de que la ubicacion del rack de comunicaciones sea distinta a la del rack de servidores,aplicamos lo dicho en el parrafo anterior.[Ampliar]
2.1.2 Bloqueo Acceso BIOS y Secuencia Arranque.Nunca, bajo ningun concepto se debe facilitar el acceso a la BIOS de una maquina en produccion, y mucho menos poder arrancar desde un Pendrive USB o CD/DVD-ROM.
2.1.3 Sistema Alimentacion Ininterrumpida.Un SAI nos protege ante un corte de suministro o mal funcionamiento de la red electrica.Consideraremos la adquisicion de un SAI como parte fundamental en la estabilidad de nuestros sistemas.
2.1.4.Factores externos.Existen numerosos factores externos que pueden influir directamente en el correcto desempeño de los servicios de nuestras maquinas; entre ellos podemos destacar las inundaciones,incendios..etc.Contar con un buen sistema de aire acondicionado,detectores de humo...es esencial para prevenir desastres.
En realidad la segunda entrega es la mitad del punto 2, en el que doy unas pinceladas acerca de las restricciones del acceso físico a las maquinas, amen de otras cosillas.
miércoles, 28 de noviembre de 2007
martes, 27 de noviembre de 2007
Mini Guia buenas practicas GNU/Linux
Espero compredais esto es una version Alpha aun sin revision.
Mini Guia buenas practicas instalacion servidor de correo GNU/Linux
S.O: DEBIAN GNU/LINUX 4.0 ETCH
KERNEL: 2.6.22 o superior, elimando modulos no necesarios, tales como: PCMCIA,Wireless..etc.
PAQUETES:
- Actualizar el Sistema: apt-get dist-upgrade
- Compilacion kernel: wget http://www.mandcspain.com/paquetekernel
- Sistema: postfix,spamassassin,dovecot-common,dovecot-imapd,spamassassin,spamc,mailx,apache,procmail
1.-Configuraciones y comprobaciones previas.
1.1.- Especial cuidado si vamos a enviar emails directamente desde el servidor.Es necesario saber si el ISP permite activar SPF sobre los registros MX del DNS.En caso afirmativo,activar SPF para que apunte a la IP fija del gateway que sera configurado como puerta de enlace predeterminada.
1.2.- Comprobar que la IP no esta en listas de SPAM.Evidentemente esto es una tarea tediosa,dificil y complicada.Muchos SysAdmin deciden abandonar este punto y seguir con los siguientes(si es que siguen algun patron!!!!), ya no lo consideran importante o simplemente lo ignoran.Mal hecho.Las URL que utilizaremos en un principio son las siguientes.Ni mucho menos son las unicas, pero pueden ayudarnos:
http://www.rbl.jp/ckdb/
http://www.moensted.dk/spam/
http://spamlinks.net/filter-dnsbl-lookup.htm#general-sites
1.3 La Documentacion es imprescindible.
1.3.1 Documentacion cuentas.Utilizaremos fetchmail(www.catb.org/~esr/fetchmail/) para que "recoja" los correos desde el servidor POP3 y, mediante procmail(www.procmail.org) los entrege al servidor IMAP dovecot(www.dovecot.org).En instalaciones donde el numero de usuarios supera la veintena(aunque no lo supere debemos hacerlo),se recomienda utilizar un Shell Script que automatice todo este proceso.[Pendiente Linkar Script]
1.3.2 Cuotas de disco.La correcta definicion de cuotas de disco ayudara al SysAdmin a prevenir desastres del tipo "Ups,el server se ha quedado sin espacio en disco" o "Mira un cosa, abro el Autoluk(Outlook) y me dice asdklajsdlkjasdljkasdlkajsdlkajsd".Webmin(www.webmin.com)facilita mucho esta tarea.
1.3.3 Password.Habilitaremos la caducidad de las contraseñas, dependiendo del numero de usuarios,podremos hacerlo manualmente(no recomendado) o mediante Shell Script o Perl.
1.3.4 Filtros envio,cabeceras...etc.Importante.Debemos definir el tamaño maximo para el envio de emails,adjuntos,..etc, con el fin de bloquear los envios que superen X MB, y que puedan provocar una caida del rendimiento en el servidor.
1.3.5 Spam.Definir la politica.Emplearemos spamassassin(http://spamassassin.apache.org/) para filtrar el correo basura.Spamassassin para un correcto funcionamiento necesita "entrenamiento", para ello, debemos enviar directamente los emails a una carpeta llamada X(SPAM por ejemplo) dentro de cada buzon IMAP(con procmail es muy facil).Con CRON es muy facil añadir una tarea HAM y SPAM para que Spamassassin aprenda cual es realmente el SPAM(No deseado) y el HAM(Deseado) en las horas de menor carga de trabajo del server o servers.
1.3.6 Antivirus.[Pendiente]
1.3.7 Backup.Mirroring,tar.gz,Backula,DLT,DDS o lo que queramos, pero este punto es imprescindible en cualquier instalacion.
1.3.8 Monitorizacion.Si tenemos Nagios(www.nagios.org) en nuestra LAN/WAN tendremos la mitad del trabajo hecho en lo que se refiere a monitorizacion en tiempo real.La examinar el mail.log(en Debian) o maillog(en RHEL) podemos utilizar pflogsumm(jimsun.linxnet.com/postfix_contrib.html) y munin(http://munin.projects.linpro.no/) para obtener mediante el empleo del algoritmo Round Robin, unas estadisticas graficas detalladas y elegantes.
Mini Guia buenas practicas instalacion servidor de correo GNU/Linux
S.O: DEBIAN GNU/LINUX 4.0 ETCH
KERNEL: 2.6.22 o superior, elimando modulos no necesarios, tales como: PCMCIA,Wireless..etc.
PAQUETES:
- Actualizar el Sistema: apt-get dist-upgrade
- Compilacion kernel: wget http://www.mandcspain.com/paquetekernel
- Sistema: postfix,spamassassin,dovecot-common,dovecot-imapd,spamassassin,spamc,mailx,apache,procmail
1.-Configuraciones y comprobaciones previas.
1.1.- Especial cuidado si vamos a enviar emails directamente desde el servidor.Es necesario saber si el ISP permite activar SPF sobre los registros MX del DNS.En caso afirmativo,activar SPF para que apunte a la IP fija del gateway que sera configurado como puerta de enlace predeterminada.
1.2.- Comprobar que la IP no esta en listas de SPAM.Evidentemente esto es una tarea tediosa,dificil y complicada.Muchos SysAdmin deciden abandonar este punto y seguir con los siguientes(si es que siguen algun patron!!!!), ya no lo consideran importante o simplemente lo ignoran.Mal hecho.Las URL que utilizaremos en un principio son las siguientes.Ni mucho menos son las unicas, pero pueden ayudarnos:
http://www.rbl.jp/ckdb/
http://www.moensted.dk/spam/
http://spamlinks.net/filter-dnsbl-lookup.htm#general-sites
1.3 La Documentacion es imprescindible.
1.3.1 Documentacion cuentas.Utilizaremos fetchmail(www.catb.org/~esr/fetchmail/) para que "recoja" los correos desde el servidor POP3 y, mediante procmail(www.procmail.org) los entrege al servidor IMAP dovecot(www.dovecot.org).En instalaciones donde el numero de usuarios supera la veintena(aunque no lo supere debemos hacerlo),se recomienda utilizar un Shell Script que automatice todo este proceso.[Pendiente Linkar Script]
1.3.2 Cuotas de disco.La correcta definicion de cuotas de disco ayudara al SysAdmin a prevenir desastres del tipo "Ups,el server se ha quedado sin espacio en disco" o "Mira un cosa, abro el Autoluk(Outlook) y me dice asdklajsdlkjasdljkasdlkajsdlkajsd".Webmin(www.webmin.com)facilita mucho esta tarea.
1.3.3 Password.Habilitaremos la caducidad de las contraseñas, dependiendo del numero de usuarios,podremos hacerlo manualmente(no recomendado) o mediante Shell Script o Perl.
1.3.4 Filtros envio,cabeceras...etc.Importante.Debemos definir el tamaño maximo para el envio de emails,adjuntos,..etc, con el fin de bloquear los envios que superen X MB, y que puedan provocar una caida del rendimiento en el servidor.
1.3.5 Spam.Definir la politica.Emplearemos spamassassin(http://spamassassin.apache.org/) para filtrar el correo basura.Spamassassin para un correcto funcionamiento necesita "entrenamiento", para ello, debemos enviar directamente los emails a una carpeta llamada X(SPAM por ejemplo) dentro de cada buzon IMAP(con procmail es muy facil).Con CRON es muy facil añadir una tarea HAM y SPAM para que Spamassassin aprenda cual es realmente el SPAM(No deseado) y el HAM(Deseado) en las horas de menor carga de trabajo del server o servers.
1.3.6 Antivirus.[Pendiente]
1.3.7 Backup.Mirroring,tar.gz,Backula,DLT,DDS o lo que queramos, pero este punto es imprescindible en cualquier instalacion.
1.3.8 Monitorizacion.Si tenemos Nagios(www.nagios.org) en nuestra LAN/WAN tendremos la mitad del trabajo hecho en lo que se refiere a monitorizacion en tiempo real.La examinar el mail.log(en Debian) o maillog(en RHEL) podemos utilizar pflogsumm(jimsun.linxnet.com/postfix_contrib.html) y munin(http://munin.projects.linpro.no/) para obtener mediante el empleo del algoritmo Round Robin, unas estadisticas graficas detalladas y elegantes.
...
En relación al post anterior el concierto muy bien. Por causa relacionadas a mi situación mental el día del concierto, me he perdido a Ktulu.Koma; lo mejor. SA; en su línea. Habeas Corpus;no me gustaron.
De lo que he leído últimamente lo mas interesante:
.- Entrevista a Linus Torvalds
.- Kirai en meneame.
Kirainet.com es uno de los blogs más interesantes que he leído en mis casi 10 años como internauta.100% recomendado
.- Aokigahara : el bosque de los suicidios.
El próximo viernes 30 me voy con Pableras a la II LudusParty, en Lugo. Os mantendré informados.
Salud y gnuismo para todos.
De lo que he leído últimamente lo mas interesante:
.- Entrevista a Linus Torvalds
.- Kirai en meneame.
Kirainet.com es uno de los blogs más interesantes que he leído en mis casi 10 años como internauta.100% recomendado
.- Aokigahara : el bosque de los suicidios.
El próximo viernes 30 me voy con Pableras a la II LudusParty, en Lugo. Os mantendré informados.
Salud y gnuismo para todos.
sábado, 17 de noviembre de 2007
Netcraft!
En 24 horas estaré en el II Inferno Rock viendo a S.A, Koma, Ktulu y Habeas Corpus. Qué tiene esto que ver con un blog supuestamente gnuista y demás?..Como ni yo mismo lo sé, he consultado en Netcraft, para comprobar qué S.O corre en cada site de cada banda y postear la frikada del mes. Ahí van los resultados.
www.soziedadalkoholika.com Windows 2000 217.76130.23
www.koma-grupo.com Desconocido 62.193.194
www.ktulu.es Desconocido 89.207.232.21
www.habeascorpus-grupoderiesgo.com Desconocido 217.166.0.144
En breves los resultados de nmap.
Saludos
www.soziedadalkoholika.com Windows 2000 217.76130.23
www.koma-grupo.com Desconocido 62.193.194
www.ktulu.es Desconocido 89.207.232.21
www.habeascorpus-grupoderiesgo.com Desconocido 217.166.0.144
En breves los resultados de nmap.
Saludos
sábado, 10 de noviembre de 2007
Suscribirse a:
Entradas (Atom)