[U-co] [OT] Configuracion de servidor

Carlos Fajardo carlos.fajardo en gmail.com
Lun Oct 1 18:54:36 UTC 2012 

Hola Frederic,

Me faltó algo importantísimo: para tener idea del comportamiento de las 
variables del servidor con carga, y poder definir los parámetros 
descritos, hay que apoyarse en alguna herramienta de carga y estres. 
Recomiendo jmeter http://jmeter.apache.org/

Atentamente,

Carlos Fajardo



On 10/01/2012 01:42 PM, Carlos Fajardo wrote:
> Hola Frederic
>
> Tema largo de tratar. Debes tomar en cuenta y equilibrar temas de 
> desempeño y temas de seguridad. Este es el resultado de mi experiencia 
> en ese campo, yo trataría:
>
> 1. Activar SELinux con los respectivos booleanos y tags sobre el 
> DocumentRoot
>
> 2. Configurar el firewall del S.O. con los puertos específicos que van 
> a dar servicio y/o Administración (solo desde las redes que amerite)
>
> 3. Instalar y configurar mod_security y mod_evassive en apache
>
> 4. Hay cierto tunning de kernel que depende de que este compilado con 
> ese soporte, en general:
>
> Prevenir SYNFlood:
>
> sysctl -w net.ipv4.tcp_max_syn_backlog=2048
> sysctl -w net.ipv4.tcp_syncookies=1
> sysctl -w tcp_synack_retries=2
>
> Prevenir Spoofing:
>
> sysctl -w net.ipv4.conf.all.rp_filter=1
> sysctl -w net.ipv4.conf.default.rp_filter=1
> sysctl -w net.ipv4.conf.eth0.rp_filter=1
> sysctl -w net.ipv4.conf.lo.rp_filter=1
>
> 5. Instalar y configurar AWStats para tener estadísticas de trafico a 
> tu servicio web
>
> 6. Quitar los módulos de apache que no se requieran
>
> 7. Para el tema de desempeño, parámetros como MaxClients, 
> MinSpareServers, MaxSpareServers,  StartServers, etc; también hay que 
> tomar en cuenta temas de permisos, mira 
> http://www.howtoforge.com/configuring_apache_for_maximum_performance y 
> http://www.devside.net/articles/apache-performance-tuning. Hay que 
> tomar en cuenta el tema de conexiones simultaneas y su relación con 
> consultas a la base de datos por temas de carga y concurrencia.
>
> 8. Hay unas directivas de apache que es mas que prudente ajustar tales 
> como: ServerSignature, ServerTokens, etc, hay información sobre eso 
> en: http://httpd.apache.org/docs/2.2/misc/security_tips.html , 
> http://preguntaslinux.org/-howto-ebook-apache-seguro-en-20-tips-t-6473.html 
> , http://www.kyplex.com/docs/apache-security.html ,
>
> 9. Si es un sistema crítico evaluar seriamente la conveniencia de 
> contar con subscripción a RedHat o soporte con Cannonical si usas 
> Ubuntu Server.
>
> 10. En el S.O. hay que hacer una instalación mínima e instalar solo lo 
> necesario.
>
> 11. Hay herramientas a nivel de S.O. que pueden servir para encontrar 
> cuellos de botella: top, htop, systat, latencytop, nmon, iptraf,
>
> 12. Hay que asegurar la configuración de php, esta herramienta es muy 
> util y de paso dice que cambios hacer: 
> http://phpsec.org/projects/phpsecinfo/
>
> 13. Antes de empezar y al terminar ejecutar alguna herramienta de 
> detección de vulnerabilidades: nikto, OpenVAS, etc. El objetivo es que 
> pueder gestionar, controlar e inventariar las vulnerabilidades.
>
> Atentamente,
>
> Carlos Fajardo
>
> On 10/01/2012 12:59 PM, frederic wrote:
>> Buenas tardes
>>
>> Queria preguntar a la lista las mejores practicas para configuracion 
>> de un servidor.
>>
>> Es para una aplicacion web en php que ha de servir aprox 200 usuarios 
>> simultaneos.
>>
>> Va a ser implementado con una instancia cloud de 2x2.5 ghz , 8GB Ram, 
>> 300GB Hdd.
>>
>> La pregunta especificamente es sobre tunning de SO y MySQL
>>
>> El SO por estabilidad y eleccion de gerencia es RedHat/Centos 6
>>
>>
>>
>>
>> Enviado desde Samsung Mobile
>

Más información sobre la lista de distribución Ubuntu-co