Seguridad del kernel

Clase 32 de 49 • Curso de Administración de Servidores Linux 2017

Resumen

El kernel es la pieza fundamental del sistema operativo, el interactua entre el hardware y los programas que se están ejecutando.

Por defecto el kernel de Linux está bien asegurado, veamos cómo modificar estos límites

Modificar límites

En el archivo /etc/security/limits.conf se encuentra la configuración de límites del kernel

*  soft  nofile  32000
*  hard  nofile  35000

De esta forma estamos estableciendo la cantidad de archivos que puede abrir el sistema al tiempo.

Marco Elizalde

student•

**/etc/security/limits.conf ** - contiene los limites generales de todo lo que existe en linux. Para como interactua un usuario contra ciertos items (contra el core, el numero de archivos abierto, bloquear la base de datos, cuantos es el maximo de cpu).

/etc/sysctl.conf - permite setear una configuración especial en el kernel. con sysctl -p nos permite guardar los cambios.

ulimit -a : nos permite mirar como quedaron las configuraciones

Alexander Limaie Roman Guerra

student•

Una configuracion que recomiendan para acelerar la distribucion linux es:
1ª- Reducirla: La swap por defecto viene usándose el 60 en la mayoria de distros linux, esto lo podemos comprobar con:

sudo cat /proc/sys/vm/swappiness

Si nos sale 10 no hará falta tocarlo, pero no es lo normal así que la reducimos con el siguiente comando:

sudo sysctl -w vm.swappiness=10

Tras esto deberíamos de comprobar que el ordenador funciona correctamente con la memoria ram, ya que este comando solo es temporal, desaparece cuando se vuelve a iniciar el ordenador, si comprobamos que funciona bien y queremos dejarlo de forma permanente usaremos el siguiente comando:

sudo gedit /etc/sysctl.conf

Con este comando se nos abrirá el archivo de texto desde el que se puede hacer permanente un cambio en la swap, al final del archivo debemos de añadir la siguiente linea:

vm.swappiness=10

Debemos de tener cuidado de pulsas enter en el último # y escribir debajo porque si no, no nos reconocerá el comando escrito y a la hora de preguntarle por la swap que estamos utilizando nos dirá que sigue siendo 60, de esta forma el archivo debería de terminar así:

<h1>Log Martian Packets</h1>

#net.ipv4.conf.all.log_martians = 1
vm.swappiness=10

Marco Elizalde

student•

Gracias

Javier Ramos

student•

Gracias tome su like Caballero

Luis Enrique Muñoz Ibarra

student•

al fin esto se puso bueno

Diego Ramírez

student•

Hola! Alguien sabe cómo se puede saber si en algún momento se está llegando al límite establecido? Es decir, tener un criterio más concreto para poder decidir aumentar alguno de los valores que se mencionan.
Un saludo!

Mario Alonso Ruiz Garcia

student•

Hola a todos, alguien sabe como saber cuál es el número de conexiones por default que soporta un servidor (Ubuntu server)?

Sergio Santiago González

student•

Me perdí un poco con los valores de los límites, ¿cómo se qué número colocar ahí para ampliar o disminuir el límite?

Diego Forero

Team Platzi•

Debes revisar la documentación del sistema operativo en la mayoría de sistemas viene configurado con una capacidad suficiente, pero si es un servidor de un sitio web con muchas visitas o como lo menciona el profesor que mongo recomienda aumentar este limite es cuando se debe aumentar, si comienzas a ver errores que tienen que ver con que el sistema no puede abrir más archivos entonces es cuando debes modificar estos limites.

Sergio Santiago González

student•

Muchas gracias @GOLLUM23

Raul Gomez

student•

buen video sobre ajustes de paramentros del kernel

Marco Elizalde

student•

Archivo limits.conf

Marco Elizalde

student•

archivo sysctl.conf

Marco Elizalde

student•

Para que podemos utilizar el sysctl.conf

Marco Elizalde

student•

unlimit -a

Marco Elizalde

student•

ejemplos para que se puede modificar los valores en limits.conf

Marco Elizalde

student•

Que debemos de ser conscientes cuando modificamos el limits.conf

Juan Diego Silva Garcia

student•

Configuración

net.core.somaxconn=4096

net.core.somaxconn = 65536
net.core.rmem_max = 8388608
net.core.wmem_max = 8388608
net.core.netdev_max_backlog = 5000

net.ipv4.tcp_max_tw_buckets = 1440000
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_max_syn_backlog = 65536

net.ipv4.tcp_tw_recycle = 0
net.ipv4.tcp_tw_reuse = 0

#redis
vm.overcommit_memory=1

Enrique Gálvez

student•

Yo aumentaria el valor net.ipv4.tcp_window_scaling a 4 para aprovechar mejor el troughput de enlaces con alto ancho de banda

Tomas Leguizamon

student•

Alguien sabe alguna herramienta similar al Klipler para Mac?

Brayan Murcia Sanchez

student•

Creo que es importante aclarar qué es Network Address Translation, bueno tuve que leer ya que no tenia claro el concepto, y espero que esto le sirva a alguien que tenga mi misma duda; por lo general, los datos se trasladan en una red a partir de su origen (por ejemplo el server que montamos en la VM) a su destino (puede ser un server remoto como el de www.platzi.com) a través de varios enlaces diferentes. Ninguno de estos enlaces altera realmente el paquete de datos : sencillamente lo envían un paso adelante.

Si uno de estos links hiciera NAT, podría alterar el origen o destino del paquete cada vez que toma una de estas rutas. Pero es claro que ésta no es la función del sistema en si, y esto hace que el protocolo NAT muchas veces regrese sus paquetes como un rebote al no conseguir una conexión. Normalmente, el enlace que esté haciendo NAT recordará la ruta por la cual tuvo que regresar dicho paquete, para hacer la acción inversa con el paquete de respuesta, de manera que finalmente se entregue el paquete.

Juan Jose Aparicio Aparicio

student•

Excelente Video. gracias

Hector Vasquez

student•

@woakas No entendí bien para qué sirve el type soft y hard en limits.conf

Yeison Daza

student•

Es limitar el uso de recursos, hard son fijos y soft se pueden mover en ciertos rangos

Joaquin Araujo

student•

/etc/security/limits.conf Contiene las límites generales de todo lo que existe en Linux.

Luis Felipe Evilla Rodríguez

student•

como guardar los cambios

Brayan Murcia Sanchez

student•

@LUISFER24 cuando cambiamos algún valor de los disponibles en ulimit, sólo se mantiene en nuestra sesión. Si salimos y volvemos a entrar los perdemos. Esto es útil para cambios temporales pero no cuando queremos que sean persistentes tras el cierre de sesión. debemos especificar estos valores en el fichero con vim o nano /etc/security/limits.conf
así los haremos persistentes.

net.core.somaxconn=4096

net.core.somaxconn = 65536
net.core.rmem_max = 8388608
net.core.wmem_max = 8388608
net.core.netdev_max_backlog = 5000

net.ipv4.tcp_max_tw_buckets = 1440000
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_max_syn_backlog = 65536

net.ipv4.tcp_tw_recycle = 0
net.ipv4.tcp_tw_reuse = 0

#redis
vm.overcommit_memory=1

Seguridad del kernel

Introducción a Linux

Aprende sobre Administración de Servidores Linux con los cursos actualizados

¿Por qué se usa Linux en servidores?

Configuración y guía básica usando Virtualbox

Iniciar un servidor Linux con AWS

Manejo de sesiones remotas con tmux y SSH

Editores de texto en Linux

Editar archivos con VIM

Instalación y configuración de programas

Añadir y administrar repositorios

Instalar, actualizar y remover programas en Linux

Empaquetar y comprimir archivos en Linux

Compilar un programa en Linux

Dónde encontrar la documentación de los programas

Gestores de paquetes en Linux

Administración de particiones y arranque

Estructura de archivos en Linux

Administrar discos y particiones en Linux

Formateo y montaje de particiones en Linux

Administración swap en Linux

Generar imágenes de discos duros

Administrar particiones GPT

Administrar el arraque del sistema GRUB

Administrar discos duros con LVM

Apagar servidores de forma remota

El sistema y lo que hay que hacer

Arrancando el sistema runlevels, systemd

Uso de variables de entorno, bashrc, profile

Uso de redireccionamineto y pipes para logs

Monitorear, eliminar y establecer prioridades en procesos

Enlaces duros, simbólicos y sistemas de backups

Manejo de usuarios y grupos

Generar backup de Base de datos

Uso de socat y manejo de redireccionamiento de puertos

Tareas programadas y cómo monitorearlas

Administración

Seguridad del kernel

Permisos de archivos

Configuración de red

Cómo manejar mi firewall

Manejo de DNS y dig

Instalación de NTP

Auditoria de login y logs

Tuneles con ssh, autossh y socat

Backup de archivos de configuración con etckeeper

Prevenir ataques con fail2ban

Cierre del curso

Cierre del curso

Desafios

Desafío 1: Cómo mover una base de datos y agrandar el disco

Desafío 2: Recuperación de un MBR

Contenido Bonus

Encriptación de datos

Encontrar el dueño del paquete

md5sum, integridad de archivos y paquetes

Cómo podemos monitorear servidores

Qué distribución elegir y otras dudas frecuentes