El día 4 de febrero de 2010 05:17, Alejandro Vargas <[email protected]> escribió: > El 3 de febrero de 2010 09:27, Pablo Quiroga > <[email protected]>escribió: > >> Hola lista, >> >> Me toca la tarea de instalar un LAMP mas un repo GIT en una Maquina >> Fisica o VM (todavia no se donde). >> >> No tengo problemas con la instalación y configuración. Pero no tengo >> mucha experiencia en el área de seguridad. Por el momento el puerto 80 >> y 22 son los unicos necesarios hacia afuera, y el 3306 para MySQL, >> pero solo para localhost. >> > > En principio lo más importante: tener el software actualizado. Si podés > metelo en el cron y que se actualice solo todas las noches.
No estoy muy de acuerdo con las actualizaciones automáticas. Como dicen Rodrigo y Roberto, a veces algun update te puede romper algo. Y por ahi podes estar a 2 o 3 versiones del problema. Si actualizas a conciencia, podes saber que fue lo que actualizaste y por qué (entiendase como leer los changelogs, etc) aunque esta tarea requiera de mas tiempo y de mas atención. > Si queres evitar los intentos masivos de ssh que te ensucian los logs y... > bueno, quien sabe, hasta te puden adivinar una clave, una manera sencilla es > cambiar el puerto del ssh. Si está detrás de un router que está haciendo > port forwared, simplemente cambias el puerto en el router y en el linux no > tenes que tocar anda. Así en la red local no tenés que estar poniendo -p > <nn> para seleccionar el puerto. Al principio me parecio bien eso. Pero creo que Alejandro y Alfredo tienen razon: seguridad por oscuridad no es seguridad. Es ocultamiento. Y el que busca, encuentra. Asi que creo que es preferible asegurar bien el/los servicios antes que cambiar el puerto. > Finalmente, si sos muy paranoico, selinux o appguard son una protección > extra. Yo en realidad con medidas básicas nunca he tenido problemas, y he > administrado muchos servidores. En este momento son 6, y uno incluso con una > versión de hace varios años. Hasta he recibido ataques de denegación de > servicio (intencionales contra el servidor) pero nunca han logrado meterse. Iba a analizar un poco appguard para ver como funciona. Como para tener alternativas. Con respecto a los ataques DOS, hay un bug en apache que no se si han resuelto. Es vulnerable a un ataque con slowloris [1], un script en perl que envia peticiones http incompletas y consigue sobrecargar un apache con poco consumo de ancho de banda. La solución a ese problema era colocar un nginx o lighttpd antes del apache. La lista de invulnerables esta en la pagina [1]. [1] http://ha.ckers.org/slowloris/ -- Pablo Daniel Quiroga | @blitux http://blitux.tumblr.com
