INICIO
NOTES
MANUALES
LINKS
Modding
VideoGames
Ordenador Lenovo Legion Y530 Comprado: https://amzn.to/2Y4VirO
Muchas veces montamos un servidor, ya sea web o de aplicaciones, y no somos conscientes de que está expuesto a la red; con los problemas de seguridad que eso conlleva. No lo somos, hasta que se nos cae el servicio sin saber muy bien por qué o instalamos una herramienta como logwatch, fail2ban o mod_evasive y somos conscientes de los ataques constantes que realiza nuestro server.
Pues bien, en éste artículo, vamos a configurar el módulo de apache httpd ModEvasive para que nos ayude a reducir las consecuencias de esos ataques en nuestras máquinas.
1) Verificamos que estamos al día con nuestros paquetes
# apt-get update -y
# apt-get upgrade -y
2) Instalaremos mod_evasive
# apt-get install libapache2-mod-evasive
verificando que está instalado
# apachectl -M | grep evasive
Si todo está bien, recibiremos este resultado
evasive20_module (shared)
3) Configuraremos el módulo
# vi /etc/apache2/mods-enabled/evasive.conf
y lo rellenaremos como el ejemplo de a continuación, siempre, ajustándolo a nuestras necesidades
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
DOSEmailNotify Esta dirección electrónica esta protegida contra spam bots. Necesita activar JavaScript para visualizarla
DOSSystemCommand "su - someuser -c '/sbin/... %s ...'"
DOSLogDir "/var/log/mod_evasive"
4) Unos últimos retoques
# mkdir /var/log/mod_evasive
# chown -R www-data:www-data /var/log/mod_evasive
5) Y el toque personal de la casa, reiniciar apache sin tirar conexiones
# systemctl restart apache2
Listo! ya habéis dado un paso mas en la securización de vuestro server ;)
** Anotaciones:
DOSHashTableSize: Tamaño de la tabla hash que almacenará las IPs (nodos). Por defecto el valor es de 3097. A más tamaño, más memoria consumida.
DOSPageCount / DOSPageInterval: Umbral máximo que se debe alcanzar para ser incluído en la lista de bloqueados de una página concreta en segundos.
DOSSiteCount / DOSSiteInterval: Umbral máximo que se debe alcanzar para ser incluído en la lista de bloqueados de cualquier objeto (imagenes, css...) en segundos.
DOSBlockingPeriod: Tiempo en segundos que permanecerá bloqueada la IP de la lista. Dentro de este periodo, los accesos desde dicha IP obtendrán un error HTTP 403 (prohibido). En el caso de que la IP intente acceder dentro del periodo de bloqueo, el contador vuelve a ponerse en su valor inicial y tendrá que volver a transcurrir el número de segundos desde el principio de nuevo.
DOSEmailNotify: Opcional. Dirección de email a la que serán enviadas (mediante el comando mail) notificaciones cuando se bloqueen IPs. Incorpora sistema lock para no repetir varios emails y notificar una sola vez.
DOSSystemCommand: Opcional. Comando que será ejecutado cada vez que se añada una IP a la lista. Se reemplazará %s por la IP. De este modo, una buena técnica es hacer lo siguiente: "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP" Lo que hará que se ejecute el firewall de Linux (iptables) y bloquee todas las peticiones entrantes por el puerto TCP/80 (web).
DOSLogDir: Opcional. Selecciona una carpeta como directorio temporal para los logs. Por defecto, si no es especificado, tiene el valor /tmp.
DOSWhitelist: Opcional. Incluye una lista blanca para IPs que no tendremos en cuenta para bloquear. Ideal para añadir por ejemplo, el rango de IPs de los bots de Google (rango CIDR 66.249.64.0/19): DOSWhitelist 66.249.73.*
Puedes usar varias directivas DOSWhitelist y comodin de rangos de hasta los 3 últimos octetos.
A menudo al configurar un servidor nuevo, y sobre todo si lo hacemos en un entorno VCenter o ESXi, éste coge la hora de dónde no debe y sin darnos cuenta, la máquina tiene una hora y fechas incorrectas.
Para solucionarlo, lo haremos como siempre, de forma sencilla y en pocos pasos:
1) Listaremos las zonas horarias para encontrar la nuestra (en nuestro caso [zone] = America, Europe...)
$ timedatectl list-timezones | grep -i [zone]
2) Desharemos el link simbólico de /etc/localtime dado que éste apunta a la zona horaria
$ sudo unlink /etc/localtime
3) Realizaremos el link correcto a nuestra zona horaria
$ sudo ln -s /usr/share/zoneinfo/[Zone/TimeZone] /etc/localtime
pe. para Madrid > sudo ln -s /usr/share/zoneinfo/Europe/Madrid /etc/localtime
4) Ejecutaremos la comprobación
$ timedatectl
Y ya esta!!! listo ;)
Si has configurado la cuenta de root como sysadmin de tu sistema para recibir todos los correos importantes de tu servidor; sabrás que recibes una cantidad ingente de correos al día que poco a poco se hacen ingestionables.
Por tanto, necesitamos una solución sencilla para que todos aquellos correos que recibimos de ejecución de tareas repetitivas, nos dejen de llegar.
Ya sea en /etc/crontab /etc/cronta.d/anacron o cuando realizas un crontab -e, en cualquiera de las tareas que se incluyen en esos diferentes crontab, debemos de añadir al final de la sentencia de ejecución:
>/dev/null 2>&1
Así por ejemplo:
00 07 * * * root if test -x /usr/sbin/apticron; then /usr/sbin/apticron --cron; else true; fi >/dev/null 2>&1
Y para comprobar que funciona (en este caso particular, en otro cambiar la ruta de /etc/cronXX):
run-parts /etc/cron.d/
Y con éstos sencillos pasos y un poco de paciencia, dejaremos de recibir tediosos mensajes diarios para centrarnos en los importantes ;)
JPAGE_CURRENT_OF_TOTAL