Muchos usuarios Linux conocen las particiones swap, sin embargo también posible crear archivos swap que hacen básicamente la misma función que las particiones swap.

swap es un archivo o partición de Linux que simula memoria física, cuando el sistema se encuentra escaso de memoria física, puede utilizar la swap como si fuera ram física, obviamente esto tiene algunas desventajas, principalmente en rendimiento, debido a que los discos duros son mucho más lento que la memoria física.

Los archivos swap tienen algunas ventajas y desventajas con respecto a las particiones swap, las principales ventajas son:

• Pueden ser movidos de ubicación
• Pueden ser cambiados de tamaño.

Con las particiones físicas no es tan fácil moverlas de lugar o cambiarlas de tamaño, aparte de que es difícil crearlas en servidores ya en uso y sin espacio en disco sin particionar.

Supongamos que tiene un servidor al que olvidó crear una partición swap y ya tiene datos en el disco, por lo que no desea volver a particionar, en estos casos todo lo que necesita es crear un archivo swap:

Supongamos que deseamos crear un archivo de 4 Gb en /var (puede cambiar la ubicación y tamaño a sus necesidades):

dd if=/dev/zero of=/var/swapfile bs=1024 count=4096000
mkswap /var/swapfile
swapon /var/swapfile.
cat /proc/swaps # esto prueba si el sistema ha reconocido el nuevo archivo swap

Como verán es sumamente sencillo y no requiere reiniciar el servidor.

Si su servidor dispone de varios discos, utilice el disco que tenga menos actividad o el más rápido de los discos.

Una grave vulnerabilidad ha sido descubierta en todos los kernels anteriores a la versión 2.6.30, esta vulnerabilidad permite a un atacante local escalar privilegios a root, se han reportado casos en los cuales un atacante ha hecho uso de alguna vulnerabilidad que le permita subir el código malicioso al servidor y luego ejecutar el exploit para obtener acceso root completo.

Para el momento de escribir esto, no ha salido un kernel para ninguna distro a excepción de Fedora, esta vulnerabilidad afecta a todas las distros incluyendo Centos, Ubuntu, RedHat, etc, las versiones 4.x de Centos/RedHat son especialmemte vulnerables.

En Centos 5.X para que la vulnerabilidad sea explotada, es necesario que SELINUX no este desactivado y mmap_min_addr  = 0 (cat /proc/sys/vm/mmap_min_addr para verificar el valor de su servidor)

Solución temporal si no desea compilar su propio kernel:

Para Centos 5.x

cd / ; wget http://www.rfxn.com/downloads/set_mmap_minaddr; chmod 700 set_mmap_minaddr; ./set_mmap_minaddr

Para Centos 4.x

cd / ; wget  http://www.rfxn.com/downloads/upkern_cos4; chmod 700 upkern_cos4 ; ./upkern_cos4

Debe reiniciar el servidor luego de aplicado el parche.

Estos fix son cortesía de http://www.rfxn.com

Todos los servidores de nuestros clientes (clientes manejados y no manejados) han sido debidamente parcheados.

PHP es a menudo la fuente de dolores de cabeza de los administradores de sistemas, sin embargo algunos sencillos ajustes pueden hacer mucho más seguras las aplicaciones PHP.

Existen varias formas de ejecutar PHP (dso, suphp, fastcgi, etc) por lo que en este artículo nos centraremos en los ajustes de seguridad recomendados para el archivo php.ini.

disable_functions=apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv,disk_free_space, diskfreespace, dl, highlight_file, ini_alter, ini_restore, openlog, passthru, proc_nice, shell_exec, show_source, symlink, system
register_global=0
allow_url_fopen=0

open_basedir debe apuntar a el directorio de usuarios, sin embargo está configuración (si es un servidor web de hosting) probablemente no se haga en el archivo php.ini sino en la configuración del host virtual o directamente en el panel de control (cPanel).

No recomendamos el uso de safe_mode, a menos que PHP esté corriendo como fastcgi, safe_mode tiende a crear más problemas que los que resuelve.

Existen otras técnicas para asegurar las aplicaciones PHP, sin embargo estos pequeños ajustes deben dar una buena protección en un servidor que ha sido protegido adecuadamente.

He encontrado un interesante artículo en español, acerca de la seguridad php desde el punto de vista del programador, es fácil de entender y pone varios ejemplo acerca de lo que no debe hacerse (click aquí)

Los virus iframes se caracterizan por incluir código en las páginas web, esté código es en la forma de una iframe invisible que redirecciona al usuario a una web maligna en donde le infecta, a diferencia de otros tipos de malware, este virus requiere de webmasters para propagarse, básicamente lo que hace el virus es esperar por conexiones FTP al servidor, una vez que el webmaster o dueño de un sitio web ha accedido a su sitio vía FTP el virus pasa al sitio web en donde modifica algunas páginas html e inserta un código similar a:

<iframe src=”http://sitio_malicionso.xxx” width=109 height=147 style=”visibility: hidden”/>

No importa cuantas veces borremos el código de la web, el virus volverá aparecer, la razón es sencilla:

La PC del webmaster o persona con acceso FTP está infectada y cada vez que se conecta FTP el virus pasa a las páginas web.

Consejos para eliminar este virus:

• Limpiar la PC infectada y asegurarse de que dispone de un buen antivirus y el mismo se encuentra actualizado.
• Usar la herramienta hijackthis para detectar la presencia del virus local.
• Eliminar el código malicioso en las páginas web.

Si tiene su propio Servidor o VPS, Clamav puede ayudarle a detectar los archivos que contienen el virus, este link a la wiki de Datacenter1.com le servirá para eso.

Los días en los que los servidores no necesitaban antivirus han quedado atrás, hoy en día es imprescindible que cualquier servidor de archivos, web, o correo electrónico, esté equipado con un antivirus actualizado.

En este artículo instalaremos Clamav un buen antivirus gratuito que le ayudará a detectar malware y esos molestos virus iframe.

Adicionalmente ofrecemos algunos consejos para correr Clamav de forma eficiente en servidores web.

Instalación de Clamav

La forma más sencilla de instalar y mantener clamav actualizado es usando los repositorios de Dag para ello solo basta agregar el repositorio a nuestro sistema:

• Visite http://dag.wieers.com/rpm/FAQ.php#B
• Escoja el Sistema Operativo, por ejemplo para Centos 5 64 bits, escoja la línea:

rpm -Uhv http://apt.sw.be/redhat/el5/en/x86_64/rpmforge/RPMS//rpmforge-release-0.3.6-1.el5.rf.x86_64.rpm

• Luego simplemente instale Clamav con el comando yum install clamav

Ya tenemos instalado Clamav en nuestro servidor ahora el siguiente paso es correrlo en busca de virus en el servidor.

clamscan / -ir

Si el servidor es un servidor en producción, pude correr clamscan con nice para evitar que clamav impacte fuertemente el uso de CPU e i/o

Para correr clamav con nice solo basta:

nice -15 clamscan -ir /
También puede sustituir la ruta "/" por su directorio de usuarios, ejemplo "/home".

Este comando solo listará los virus detectados pero no eliminará nada, si desea saber acerca de las opciones para eliminar archivos infectados o moverlos a un directorio, consulte la ayuda de clamscan.

Como ya hemos visto, Clamav puede elevar la carga del servidor, para evitar esto usaremos un pequeño truco:

Una vez que hemos realizado un escaneo completo inicial, no hay razón para tener que realizar el mismo pesado escaneo todos los días, en lugar de esto es más eficiente realizar un escaneo diario de solo los archivos que han cambiado en las últimas 24 horas, de esta forma el proceso será mucho más rápido y eficiente.

Para ejecutar el escaneo de los archivos modificados las últimas 24 horas en el directorio de usuarios, el comando sería:

nice -15 find /home -mtime 1 -type f -print0 | xargs -0 clamscan -ir

Aún podemos mejorarlo más y hacer que una tarea cron escanee el servidor diariamente y luego nos envíe el resultado a nuestro correo, para este caso las instrucciones serian:

crontab -e # Para abrir el archivo de configuración de cron

Incluya la siguiente línea en el cron: (recuerde cambiar la dirección de correo, hora y ruta de acuerdo a sus necesidades)

0 3 * * * nice -15 find /home -mtime 1 -type f -print0 | xargs -0 clamscan -ir -l /clamav.txt ; cat /clamav.txt | mail -s "Reporte de ClamAV" usuario@datacenter1.com ; rm -f /clamav.txt

Grabe los cambios.

Ahora tiene un eficiente servicio de detección de virus y scripts maliciosos totalmente gratis !

ClamAV para Windows:

Los usuarios Windows puede usar una versión basada en Clamav, la cual puede ser descargada desde http://www.clamwin.com/

CSF es un excelente y completo firewall para sistemas Linux, especialmente para servidores con cPanel ya que tiene una interfaz de configuración para el, sin embargo no es necesario tener cPanel para disfrutar de las ventajas de CSF

La instalación es sumamente sencilla.

rm -fv csf.tgz
wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

La configuración no es tan sencilla debido a la gran cantidad de parámetros que soporta, sin embargo el archivo de configuración está excelentemente configurado, lel archivo de configuración se encuentra en /etc/csf/csf.conf

Los comandos más comunes de CSF son:

csf -r reinicia el firewall
csf -f limpia todas las reglas (desactiva el firewall)
csf -d xxx.xxx.xxx.xxx bloquea la IP xxx.xxx.xxx.xxx

Los ataques DDoS se caracterizan por muchas conexiones de diferentes direcciones IP

Una simple manera de ver si un servidor está bajo ataque es con el comando:

netstat -alpn | grep :80 | awk '{print $5}' |awk -F: '{print $(NF-1)}' |sort | uniq -c | sort -n

Esto producirá un listado de las ips actualmente conectadas y el número de conexiones que tienen abiertas

Un alto número de conexiones pude significar un ataque o algo menos nocivo como un efecto digg, twiter o slashdot

Como encontrar todos los archivos pertenecientes a un usuario:

find /var -user usuario

Buscará el /var todos los archivos pertenecientes a “usuario”

Como encontrar todos los archivos pertenecientes a un usuario y con una determinada extensión:

find /var -user usuario -name "*.pl"

Buscará el /var todos los archivos pertenecientes a “usuario” que ademas tengan la extensión .pl

Como “matar” todos los procesos pertenecientes a un usuario:

kill -9 `ps -u USUARIO -o "pid="`

Matará todos los procesos del usuario USUARIO

Como “montar” un cd en Linux:

mount -t iso9660 -o ro /dev/cdrom /mnt

Montará la unidad de cd en el directorui /mnt luego podemos acceder al contenido del CD en /mnt

Como montar una imagen de cd .iso en Linux:

 mkdir -p /mnt/iso
 mount -o loop archivo.iso /mnt/iso

Montará el contenido del archivo .iso en el directorio /mnt/iso

Hardening es el proceso de hacer un servidor más seguro y resistente a ataques y problemas se seguridad, idealmente se debe realizar a los servidores nuevos antes de conectarlos a Internet.

El proceso de Hardenig es gratis e incluido en todos los Servidores Administrados e incluye:

• Instalación y Configuración de Firewall CSF
• Instalación de Clamav
• Instalación y Configuración de mod_security
• Seguridad PHP
• Aseguramiento del directorio /tmp
• Aseguramiento de la memoria virtual
• Permisos de archivos
• Eliminación de paquetes no usados
• Seguridad de compiladores
• Seguridad de SSH
• Protección Anti-Spam
• Instalación de root logger
• Instalación de detectores de rootkit
• Protección de archivos críticos
• Seguridad de host.conf
• Seguridad de sysctl.conf
• Seguridad de resolv.conf
• Instalación de mod_evasive
• Protección de abuso de recursos, suspende y reanuda automáticamente las cuentas que abusan de recursos
• Protección del sistema de archivos
• Seguridad de Apache
• Seguridad de Bind
• Seguridad de MySQL

Ahora disponemos de 20 nuevos tutoriales de WHM los cuales aplican para Reseller, Adminstradores de VPS y Dedicados con cPanel/WHM como panel de control

Los Video Tutoriales abarcan una serie de tareas comunes y son ideales para principiantes.

Puede ver los nuevos videos en el Centro de Soporte

Estos tutoriales son producidos por DemoDemo.com