Da seguridad y optimiza tu servidor

Aviso:

El siguiente manual no me pertenece, pertenece a http://webhostingtalk.com/showthread.php?t=468168. La traducción en español es propia y por lo tanto, puede contener errores, si Usted encuentra alguno, notifiquemelo.

Usted es el único responsable de los daños causados al realizar lo que aquí se aconseja. Acepta haber leido este aviso y continuar la lectura del manual.

ASEGURANDO CPANEL - WHM Y SU SERVIDOR


**************************************
REVISANDO FORMMAIL
**************************************


FormMail es usado por hackers para enviar spam, para relays, y metodos de inyección.

- Comando para encontrar correos "pesky":

find / -name "[Ff]orm[mM]ai*"

- CGIemail también es un riesgo de seguridad:

find / -name "[Cc]giemai*"

- Comando para inhabilitar correos del formulario:

chmod a-rwx /path/to/filename

**************************************
ROOT KIT CHECKER www.chkrootkit.org
**************************************

Es una pequeña herramienta capaz de detectar un gran número de "rootkit" realizando comprobaciones en busca de binarios del sistema que hayan podido ser modificados. Se distribuye con las fuentes bajo una licencia libre poco restrictiva.


Para instalar chkrootkit debe de logearse en su servidor SSH como root.


Ejecute los siguientes comandos:


cd /root/
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvzf chkrootkit.tar.gz
cd chkrootkit-0.44
make sense


Para iniciar chkrootkit


/root/chkrootkit-0.44/chkrootkit


*************************************************
Instale un detector de acceso root y advertencia por e-mail
*************************************************


Si alguien consigue acceder a su acceso root, será avisado rapidamente y además podrá conseguir por lo menos la IP address del atacante y saber si hay alguien en su acceso root.

Escriba los siguientes comandos:

pico .bash_profile

Baje un poco sobre el archivo y agregue la siguiente línea:

echo 'ALERT - Root Shell Access on:' `date` `who` | mail -s "Alert: Root Access from `who | awk '{print $6}'`" [email protected]

Salva el archivo y cierralo.

Configura un mensaje legal SSH:

- Logeate como root y tipea los siguientes comandos:

pico /etc/motd

Ingrese su mensaje, salve el archivo y cierrelo.

*******************************************
MÁS MEDIDAS DE SEGURIDAD
*******************************************


Restringa el acceso SSH:

- Logeate como root y tipea los siguientes comandos:

pico /etc/ssh/sshd_config

Baje un poco del archivo y vea esta sección:

#Port 22
#Protocol 2, 1
#ListenAddress 0.0.0.0
#ListenAddress ::

Borre y cambie:

#Port 22
para colocar
Port 5678 (puedes elegir un puerto entre 4 ó 5 digitos (49151 es el numero de puerto más alto Y no utiliza el 5678)

Borre y cambie:

#Protocol 2, 1
a tu gusto
Protocol 2

Borre y cambie:
ListenAddress 0.0.0.0
a tu gusto
LstenAddress 123.123.123.15 (Usa una de las direcciones IP asignadas a su servidor).

Si tu no quieres permitir el login root busca la sección:

#PermitRootLogin yes
y cambialo a "no"
PermitRootLogin no

Salva el fichero presionando Ctrl x

Deshabilitar cuentas shells

Logeese en su servidor como usuario root y siga las siguientes instrucciones.

locate shell.php
locate irc
locate eggdrop
locate bnc
locate BNC
locate ptlink
locate BitchX
locate guardservices
locate psyBNC
locate .rhosts

Nota: Habrá varios listados que estarán relacionados con el OS/Cpanel. Los ejemplos son:

/home/cpapachebuild/buildapache/php-4.3.1/ext/ircg
/usr/local/cpanel/etc/sym/eggdrop.sym
/usr/local/cpanel/etc/sym/bnc.sym
/usr/local/cpanel/etc/sym/psyBNC.sym
/usr/local/cpanel/etc/sym/ptlink.sym
/usr/lib/libncurses.so
/usr/lib/libncurses.a
etc.

*******************************************
INSTALE BFD
*******************************************

Para instalar BFD logeese en su servidor como root y escriba los siguientes comandos.

cd /root/
wget http://www.rfxnetworks.com/downloads/bfd-current.tar.gz
tar -xvzf bfd-current.tar.gz
cd bfd-0.4
./install.sh

Luego de haber instalado BFD, ejecute el siguiente comando:

pico /usr/local/bfd/conf.bfd

Busque:
ALERT_USR="0"
y cambie esto por
ALERT_USR="1"

Busque:
EMAIL_USR="root"
y cambie esto por
EMAIL_USR="[email protected]"

Salve el archivo y cierrelo.

Para iniciar APF Firewall ejecute el siguiente comando:

/usr/local/sbin/bfd -s


*******************************************
DESHABILITE PUERTOS INNECESARIOS
*******************************************

El manual continuará.

Primera parte finalizada.

Porfavor, no realizar comentarios hasta no estár finalizada.

Continuamos con "Deshabilitar puertos innecesarios".

Lo recomendable es que haga una copia de seguridad de su archivo:

cp /etc/services /etc/services.original

En un sistema típico de CPanel Usted vería algo como esto:

<?php
tcpmux 1/tcp # TCP port service multiplexer
echo 7/tcp
echo 7/udp
ftp-data 20/tcp
ftp 21/tcp
ssh 22/tcp # SSH Remote Login Protocol
smtp 25/tcp mail
domain 53/tcp # name-domain server
domain 53/udp
http 80/tcp www www-http # WorldWideWeb HTTP
pop3 110/tcp pop-3 # POP version 3
imap 143/tcp imap2 # Interim Mail Access Proto v2
https 443/tcp # MCom
smtps 465/tcp # SMTP over SSL (TLS)
syslog 514/udp
rndc 953/tcp # rndc control sockets (BIND 9)
rndc 953/udp # rndc control sockets (BIND 9)
imaps 993/tcp # IMAP over SSL
pop3s 995/tcp # POP-3 over SSL
cpanel 2082/tcp
cpanels 2083/tcp
whm 2086/tcp
whms 2087/tcp
webmail 2095/tcp
webmails 2096/tcp
mysql 3306/tcp # MySQL
?>

*********************************
CREE UNA CONTRASEÑA ROOT
*********************************

Desde root en su WHM, WHM Server Setup -> Set MySQL Root Password.
Cree una contraseña nueva y root.

*********************************
OPTIMIZANDO MYSQL
*********************************
Estas son mis sugerencias de configuranción de el archivo my.cnf . Esto es recomendable para un servidor dedicado con memoria de 256 a 512MB.

Quote:
[mysqld]
max_connections = 250
key_buffer = 16M
myisam_sort_buffer_size = 32M
join_buffer_size = 1M
read_buffer_size = 1M
sort_buffer_size = 2M
table_cache = 1024
thread_cache_size = 286
interactive_timeout = 25
wait_timeout = 1000
connect_timeout = 10
max_allowed_packet = 16M
max_connect_errors = 10
query_cache_limit = 1M
query_cache_size = 16M
query_cache_type = 1
tmp_table_size = 16M
skip-innodb

[mysqld_safe]
open_files_limit = 8192

[mysqldump]
quick
max_allowed_packet = 16M

[myisamchk]
key_buffer = 32M
sort_buffer = 32M
read_buffer = 16M
write_buffer = 16M


Luego, le recomiendo instalar mytop para supervisar los usos y procesos.

Quote:
tar -zxvf mytop-1.4.tar.gz
cd mytop-1.4
perl Makefile.PL
make
make test
make install



***************************
OPTIMIZACIÓN DE APACHE Y PHP
***************************

Mis sugerencias para el archivo httpd.conf son:

Quote:

Timeout 200
KeepAlive On
maxKeepAliveRequests 100
KeepAliveTimeout 3
MinSpareServers 10
MaxSpareServers 20
StartServers 15
MaxClients 250
MaxRequestsPerChild 0
HostnameLookups Off



Usted puede encontrar la cantidad de conexiones a Apache con este comando:

netstat -nt | grep :80 | wc -l

Para encontrar la cantidad de procesos de Apache que utilice este comando:

ps -A | grep httpd | wc -l (esto demostrará la cantidad de procesos)
ps -aux | grep httpd (esto mostrará los actuales procesos)

Para encontrar la cantidad de procesos de MySQL utilice este comando:

ps -A | grep mysql | wc -l (esto demostrará la cantidad de procesos)
ps -aux | grep mysql (esto mostrará los actuales procesos)

Si tu quieres saber los logs de errores, ejecuta este comando:

cat /usr/local/apache/logs/error_log

2da parte finalizada.

Continuará.

**********************
Un par de comandos
**********************

who
Para saber los usuarios logeados en la máquina.

history | more
Para saber los procesos que has ejecutado anteriormente con ese usuario.

hostname
Imprime el nombre del servidor.

whoami
Imprime tu nombre de usuario.
ps
Lista todos los procesos que están corriendo en ese usuario.

FIN DEL MANUAL

Estimado,

Agrego un par de aclaraciones para que no hayan confusiones, otras utilidades adicionales y también un pequeño script que hice hace algun tiempo que seguro les será de utilidad a todos.

Saludos!
---

Los puertos van desde el 1 al 65535, y se pueden asignar mayores al 49151, de hecho lo hago en muchos de los servidores que administro desde hace mucho tiempo.

--
Además de ChkRootkit, es una gran ayuda contar con otro detector de RootKit como lo es RootKit Hunter, pueden obtenerlo desde www.rootkit.nl, la instalación es muy sencilla, solo hay que correr install.sh, y luego para correr el escaneo del sistema, correr el comando "rkhunter -c", también puede usarse con cron, etc, etc, para ello, vean la documentación disponible desde

---

Creo que aquí hay una equivocación, se ve que pegaste mal esta parte o se te mezclo de alguna forma, en esta parte has puesto las instrucciones para instalar BFD (brute force detection) en vez de APF


----

Respecto a la busqueda de formmails, sugiero utilizar el siguiente script que es mucho más rápido si posees tu base de datos del slocate al día:

---

Otras variables importantes a modificar en la configuración del SSH:

StrictModes - activar usando "yes"
PrintLastlog - activar usando "yes"
PermitEmptypasswords - desactivar usando "no"

--

Vale aclarar que lo aquí expuesto por el amigo SilveraR junto con los detalles adicionales que he agregado yo, solo sirven para hacer sus servidores un poco menos vulnerables de lo que son, pero hay que considerar más tareas a realizar para brindar una seguridad verdaderamente alta.

Muchas gracias .

De verdad te agradezco mucho la aclaración, ya lo he corregido.

Saludos

Sugiero que cuando traduzcas tutoriales aproveches para actualizar los paquetes, o trabajarlos de forma generica por ejemplo
Un usuario novato se volverá loco tratando de ejecutar la linea cd chkrootkit-0.44 ya que esa no es la versiób actual debes cambiarlo por algo como
cd chkrootkitX.XX en donde X.XX es la versión que acaba de bajar

Igual pasa con algunos otros paquetes

Otro detalle hay mucha gente que ejecuta esos comandos sin siquiera entender para que son por eso hay que dar las instrucciones lo más claras posibles

En donde dices como desactivar el acceso root vía ssh DEBES ADVERTIR QUE EL USUARIOS NECESITA OTRA CUENTA no privilegiada en el servidor desde la cual pueda hacer su de lo contrario NO PODRÁ LOGUEARSE AL SERVIDOR, además se debe reinciar el demonio ssh despues de esa modificación

Otro detallito más:
No tiene sentido bajo Cpanel que el número máximo de conexiones de MySQL sea mayor al número de conexiones de apache, esos valores deben ser iguales o el de apache algo superior

Coincido con Web Tech esto dará quizas un 5% más de seguridad en un servidor, pero es mejor que nada

Aqui hay manual de seguridad (aún con algunos capítulos pendientes)

Te invito a que tu mismo me digas los errores si puedes, dado que no dispongo del tiempo para realizarlo.

Lo fundamental para todo "admin" que comienza con sus servidores, es estudiar, en la red encontrará muchos manuales y tutoriales sobre como securizar su servidor. Coincido con Datacenter1 en que para ese tipo de personas que recién comienzan hay que dar algunos detalles que tal vez para admins con más experiencia son más obvios, pero también recuerdo cuando recién comencé a administrar servidores, tuve que estudiar mucho para superarme, y de hecho lo sigo haciendo a diario.. hay que dar buenas referencias y detalles, pero también hay que aprender a valerse por uno mismo e investigar las cosas, sino en esta profesion no te irá bien.

Estoy de acuerdo en parte con ambos, con Datacenter1, y con SilveraR, hay que dar buenas guias, etc, pero si una persona que pretende securizar un server, no se da cuenta del error al tratar de acceder a un directorio con un comando tan básico como "cd", eso quiere decir, que tiene un nivel MUY bajo del que se requiere para ya estar en temas como "seguridad en sistemas", primero que aprenda a usar sistemas unix-like y luego que aprenda a administrar dichos sistemas. En parte es mejor que este manual de un 5% de seguridad a los sitemas como dice Datacenter1, así los futuros admins pueden desarrollarse por ellos mismos, investigando recursos y posibilidades, etc. Luego es cuando más te sientes orgulloso al securizar un sistema, cuando sabes que esto y aquello lo has aprendido por tu cuenta, gracias a ello, esa persona será un buen administrador, de lo contrario, con cortar y pegar en su server, seguramente no aprenderá nada, y cometerá muchos errores.

Saludos.

Lo ideal sería que la gente lea las guias estudie y se documente al respecto, jamás se debe introducir un comando sin comprender exactamente que hace ese comando y cuales son sus efectos, lamentablemente se que muchos solo cortan y pegan lo que encuentran por eso hice la aclaratoria y Linux no es Windows aqui no hay el mensajito

- "Esta seguro de que desea realizar esta opción"
- luego de oprimir "Si"
- "Esta Ud. realmente seguro?"

Linux solo obedece sin protestar

El otro cambio es más sutil, cualquier descuidado puede quedarse sin acceso a su servidor si quita el el acceso root y "olvido" previamente crear una cuenta desde la cual poder loguearse

Nadie ha copiado y pegado, ¿Usted ha visto eso? Le pido que me lo muestre, incluida la fuente original en español no en inglés, porque aquí el manual está en español y creo que eso significa que lo he traducido. Debería de por lo menos, desafiar sus límites y agradecer al que lo ha traducido, que tanto esfuerzo le ha puesto, no para recibir sólo criticas, sí, hacen mejor.

Suerte

Muchachos, tratemos de respetarnos mutuamente, todos aquí estamos para ayudar y dar una mano, que no se ponga caliente un tema como este que esta solo para ayudar a la gente, y no para crear rivalidades (que lamentablemente a diario veo muchas en este foro), si hay confusiones, etc, pues que lo comuniquen como lo hice yo anteriormente, y listo, pero siempre con respeto. Lo digo por si estoy causó confusión, pues seguro que esa no fue la intención de Datecenter1, leyendo el post yo lo interpreto como un comentario general a todos, no a tu post SilveraR.

Saludos.

Calmate, cuenta hasta 10 y relee mi post...

Me refería, respondiendo a lo que decia el amigo Web Tech que es importante que los tutoriales sean claros porque hay mucho lector de guías que corta y pega los comandos de las guías directamente a su consola del servidor, si el comando está erroneo puede causar un grave daño a su servidor y es precisamente lo que deseamos evitar.

En ningún momento quise decir que TU habias cortado y pegado el manual

No fueron críticas fueron correcciones que tu amablemente pediste ya que te encuentras escaso de tiempo

Espero que esto te aclare las cosas

Hola. Muy bueno el manual. Tenia una duda respecto a esto:

echo 'ALERT - Root Shell Access on:' `date` `who` | mail -s "Alert: Root Access from `who | awk '{print $6}'`" [email protected]

Funciona perfectamente, pero si por ejemplo tengo mas usuarios creados que entran por ssh, como puedo hacer para que me avise tambien cada vez que se conecten?

Saludos y gracias

Para ello deberás editar los respectivos .bash_profile de cada usuario.

No te fies de esa pequeña advertencia, porque realmente si bien te ayuda a ver si alguien ha ingresado desde una IP desconocida, dudo que puedas hacer algo una vez que t llegue el aviso, pues tu server ya estará tomado al 100% para ese entonces.

Saludos.

Ya, eso si, pero por lo menos te informa de cuando hay logueos de usuarios, cosa que esta bien.

Cree un user, y modifique su .bash_profile. Pero si hay users que estan creados, y no tienen ningun .bash, que se puede hacer?

Gracias

un pequeño contributo (claro depende del formato del log de error de cada quien)

para buscar dentro del log de errores a "amgios"que buscan programas que contienene vulnerabilidad en los servidores tipear por ejemplo:

grep -h xmlrpc.php /usr/local/apache/logs/error_log | awk '{print $8}' | sed 's/]//g' | sort | uniq -c |sort

esto le dara la lista de IP que usa nuestro "amigo" para encontrar la vulnerabilidad el xmlrpc.php y luego pues bloquearlo en el server.

Hablando de optimizacion no esta demas darle un vistazo rapido al server sin tener que loguarse, solo por web.

Aunque el script es para VPS no veo por que no funcione en servidores dedicados.

www labradordata ca /home/13


(Soy nuevo acá, no puedo pegar URLs)

Interesante aporte, gracias.

WebTech

espero sea de utilidad.

aqui escribo otro, este permite ver los IP (ojo muchos son robot de internet no bloquearlos) que buscan paginas dentro de nuestro server que no existen, pero si la cantidad es muy grande tener bajo observación puede ser un "amigo"que quiere jod...e...

grep -h "File does not exist" /usr/local/apache/logs/error_log | awk '{print $8" "$13}' | sed 's/]//g' | sed 's/\/home//g' | cut -d'/' -f1-2 | sort | uniq | awk '{print $1}' | sort | uniq -c | sort


luego si desean ver un Ip de esa lista que les parece sospechoso por el numero de elevado corran este codigo y vea que esta haciendo

grep -h "111.111.111.111" /usr/local/apache/logs/error_log |more

claro cambien el numero de Ip del ejemplo por el que estan buscando