Saludos: Anthony Mogrovejo escribió: > y empezo la chicha de siempre por algunos "trolls" ... en fin > El problema no es la herramienta Srs. es la persona que la implementa > asi de simple, el peru tiene PERUADMINS y no SYSADMINS esa es la > realidad. > > Uno puede ser bueno en microsoft o linux, en seguridad y lo que > quieran, pero hay que tener criterio necesario para lanzar > aplicaciones mas aun si son webs o servidores en produccion. > > En cierta medida lo que dices es cierto, mas no siempre. Tú, yo o muchos otros como administradores de servidores en producción podemos tener en claro muchos conceptos de seguridad para servidores, hablando de forma puntual para este caso servidores Web:
- Asignación correcta de permisos al directorio servidor por el servidor Web - Parámetros correctos del php.ini - Hardening de Apache (nada de dejar módulos por default o cosas como AllowOverride All) - Quizás hasta un enjaulamiento de Apache - Correcto particionamiento del sistema operativo (nada de tener a /tmp dentro de la misma partición de la raíz, al menos separado con opciones no exec,nosuid,nodev) - SELinux / Apparmor - Incluso correr el servidor Web como guest virtualizado - Aprovechar snapshots lvm para restaurar la partición que contiene la página web posiblemente defaceada - Herramientas complementarias como bastille, tripwire, etc etc - etc etc Esta bien, no soy experto en seguridad, pero me parece que no todo va por ahí. ¿De qué vale implementar tanta seguridad a nivel de sistema operativo si la aplicación Web que corre encima es insegura? Si somos también conocedores de la aplicación Web podríamos auditarla y corregirla, pero generalmente esto corresponde más al encargado de desarrollar el Website para asegurarlo como corresponde. De nada valdrá tanta seguridad ofrecida por un sysadmin si se pone cualquier tipo de aplicación vulnerable a múltiples ataques de inyección (sql, ldap, remote file, etc). Considero que no sólo un buen sysadmin o como dicen "peruadmin" (que no se que pretende decir), debe llevar esta responsabilidad sino el programador de la aplicación Web (no hablemos sólo de CMS) que publican. Saludos P.D.: La indignación de las cosas sucedidas no amerita una falta de respeto hacia otros. > A mi me fastidia las personas que usan Joomla! y no se toman la minima > consideracion de dar seguridad a los archivos, carpetas, parches, > plugins y solo se preocupan por cobrar el cheque del servicio y nada > mas .... > > El 23/11/09, cesar luis molina <[email protected]> escribió: > >> Alfonso no es necesario que respondas así, a todos les causa indignacion el >> tema, pero hay que usar palabras alturadas... >> >> El 22 de noviembre de 2009 22:29, Alfonso de la Guarda >> <[email protected]>escribió: >> >> >>> Disculpa? >>> >>> Fue una expresión fuerte pero no hay falta de respeto por ningún lado, si >>> te pareció ofensiva es tu problema, es más un acto de indignación frente a >>> la situación actual. >>> >>> Si vas a opinar sobre el tema adelante, porque tu observación es >>> innecesaria. >>> >>> Saludos, >>> >>> -------------------------------- >>> Alfonso de la Guarda >>> Centro Open Source(COS) >>> http://delaguarda.info >>> http://alfonsodg.wordpress.com >>> Agenda:http://tinyurl.com/djmjol >>> Telef. 991935157 >>> 1024D/B23B24A4 >>> 5469 ED92 75A3 BBDB FD6B 58A5 54A1 851D B23B 24A4 >>> >>> >>> >>> >> -- >> Cesar Luis M. >> dantrix2006(arroba)gmail.com >> http://www.ubuntu-pe.org/ >> >> > > > -- Angel Rengifo Cancino RHCE 5 | LPIC 1 Director Comercial SFI Networks EIRL Nextel: 127*7460 Cel: +511 997835382 Telf: +511 4583539 E-mail: [email protected] Website: http://www.sfinetworks.com _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://listas.linux.org.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
