[U-co] [OT] Configuracion de servidor

Frederic Yesid Peña Sánchez frederic en razorblade446.co
Lun Oct 1 22:26:33 UTC 2012


> Date: Mon, 1 Oct 2012 13:54:36 -0500
> From: carlos.fajardo en gmail.com
> To: ubuntu-co en lists.ubuntu.com
> Subject: Re: [U-co] [OT] Configuracion de servidor
> 
> Hola Frederic,
> 
> Me faltó algo importantísimo: para tener idea del comportamiento de las 
> variables del servidor con carga, y poder definir los parámetros 
> descritos, hay que apoyarse en alguna herramienta de carga y estres. 
> Recomiendo jmeter http://jmeter.apache.org/
> 
> Atentamente,
> 
> Carlos Fajardo
> 
> 
> 
> On 10/01/2012 01:42 PM, Carlos Fajardo wrote:
> > Hola Frederic
> >
> > Tema largo de tratar. Debes tomar en cuenta y equilibrar temas de 
> > desempeño y temas de seguridad. Este es el resultado de mi experiencia 
> > en ese campo, yo trataría:
> >
> > 1. Activar SELinux con los respectivos booleanos y tags sobre el 
> > DocumentRoot
> >
> > 2. Configurar el firewall del S.O. con los puertos específicos que van 
> > a dar servicio y/o Administración (solo desde las redes que amerite)
> >
> > 3. Instalar y configurar mod_security y mod_evassive en apache
> >
> > 4. Hay cierto tunning de kernel que depende de que este compilado con 
> > ese soporte, en general:
> >
> > Prevenir SYNFlood:
> >
> > sysctl -w net.ipv4.tcp_max_syn_backlog=2048
> > sysctl -w net.ipv4.tcp_syncookies=1
> > sysctl -w tcp_synack_retries=2
> >
> > Prevenir Spoofing:
> >
> > sysctl -w net.ipv4.conf.all.rp_filter=1
> > sysctl -w net.ipv4.conf.default.rp_filter=1
> > sysctl -w net.ipv4.conf.eth0.rp_filter=1
> > sysctl -w net.ipv4.conf.lo.rp_filter=1
> >
> > 5. Instalar y configurar AWStats para tener estadísticas de trafico a 
> > tu servicio web
> >
> > 6. Quitar los módulos de apache que no se requieran
> >
> > 7. Para el tema de desempeño, parámetros como MaxClients, 
> > MinSpareServers, MaxSpareServers,  StartServers, etc; también hay que 
> > tomar en cuenta temas de permisos, mira 
> > http://www.howtoforge.com/configuring_apache_for_maximum_performance y 
> > http://www.devside.net/articles/apache-performance-tuning. Hay que 
> > tomar en cuenta el tema de conexiones simultaneas y su relación con 
> > consultas a la base de datos por temas de carga y concurrencia.
> >
> > 8. Hay unas directivas de apache que es mas que prudente ajustar tales 
> > como: ServerSignature, ServerTokens, etc, hay información sobre eso 
> > en: http://httpd.apache.org/docs/2.2/misc/security_tips.html , 
> > http://preguntaslinux.org/-howto-ebook-apache-seguro-en-20-tips-t-6473.html 
> > , http://www.kyplex.com/docs/apache-security.html ,
> >
> > 9. Si es un sistema crítico evaluar seriamente la conveniencia de 
> > contar con subscripción a RedHat o soporte con Cannonical si usas 
> > Ubuntu Server.
> >
> > 10. En el S.O. hay que hacer una instalación mínima e instalar solo lo 
> > necesario.
> >
> > 11. Hay herramientas a nivel de S.O. que pueden servir para 




encontrar 
> > cuellos de botella: top, htop, systat, latencytop, nmon, iptraf,
> >
> > 12. Hay que asegurar la configuración de php, esta herramienta es muy 
> > util y de paso dice que cambios hacer: 
> > http://phpsec.org/projects/phpsecinfo/
> >
> > 13. Antes de empezar y al terminar ejecutar alguna herramienta de 
> > detección de vulnerabilidades: nikto, OpenVAS, etc. El objetivo es que 
> > pueder gestionar, controlar e inventariar las vulnerabilidades.
> >
> > Atentamente,
> >
> > Carlos Fajardo
> >
> > On 10/01/2012 12:59 PM, frederic wrote:
> >> Buenas tardes
> >>
> >> Queria preguntar a la lista las mejores practicas para configuracion 
> >> de un servidor.
> >>
> >> Es para una aplicacion web en php que ha de servir aprox 200 usuarios 
> >> simultaneos.
> >>
> >> Va a ser implementado con una instancia cloud de 2x2.5 ghz , 8GB Ram, 
> >> 300GB Hdd.
> >>
> >> La pregunta especificamente es sobre tunning de SO y MySQL
> >>
> >> El SO por estabilidad y eleccion de gerencia es RedHat/Centos 6
> >>
> >>
> >>
> >>
> >> Enviado desde Samsung Mobile
> >
> 
> 
> -- 
> Al escribir recuerde observar la etiqueta (normas) de esta lista: http://goo.gl/Pu0ke
> Para cambiar su inscripción, vaya a "Cambio de opciones" en http://goo.gl/Nevnx

Podría someter el nuevo servidor a pruebas con esta herramienta para realizar ajustes antes de pasar a producción con esto, es lo que me dices?

Me parece genial... lo voy a probar el la instancia de Centos que había comentado antes.
 		 	   		  


Más información sobre la lista de distribución Ubuntu-co