Pesquisando um pouco sobre hardening

Tags: , , , ,

Venho pesquisando mais a fundo sobre hardening nestes últimos meses devido a alguns projetos que estou envolvido. Acho a parte de hardening de servidores uma das coisas mais interessantes em TI, pois o meu objetivo não é só assegurá-los, mas também garantir a sua performance, e esse é um ponto controverso e difícil de se chegar, em minha opinião.

Sou avesso ao control+c e control+v de receitas de bolo para assegurar ambientes e servidores. Gosto, de primeiro, entender o ambiente, aplicação e o que precisamos assegurar. Segundo, saber se há algo a ser feito na infraestrutura antes de implementar o hardening. Terceiro, qual é o hardening mais indicado para o ambiente ou servidor que trará a segurança tão desejada ou a sensação dela, e o mais importante, sem perda de performance. E quarto e último, testar as configurações de hardening naquele ambiente, atentando-se à performance.

Há milhares livros e papers na internet, ensinado ou tentando, como fazer o hardening de todo e qualquer tipo de S.O ou equipamento de rede. Muitos deles são cópias um dos outros, sem quaisquer melhorias ou menções, e pior, há casos de erros graves.

Nas últimas pesquisas que estive fazendo quanto ao hardening de servidores Web, acabei me deparando com algumas das coisas mais bizarras, a cópia descarada de configurações e algumas explicações chulas, que diziam que elas, digo, as configurações, eram para assegurar o server de um ataque DoS. Mas o autor do artigo não testou-as em um servidor e verificou que aquilo, aquela configuração, nada mais era que uma alteração simples de timeout, neste caso, um keepalive_timeout.

keepalive_timeout é um dos parâmetros mais controversos de se configurar em um servidor Web. O Slashdot, por exemplo, já trabalhou com ele em zero, assim como diversos outros grandes portais que entraram no c10k problem. E serei categórico em afirmar, você só se tornará um verdadeiro administrador de servidores Web quando se deparar com um c10k problem. O treco chato.

Servidores de proxy reverso e Cache, como é o caso do Varnish, chegaram como verdadeira salvação da lavoura. Além de melhor “a segurança do ambiente”, eles aumentavam em muito a sua performance. Mas como sempre, os ataques se aperfeiçoaram e o velho ditado foi comprovado  “quanto mais camadas e mais complexo foi o seu ambiente, mais problemas você terá”

Voltando ao hardening e focando um pouco no mundo web

Tomem bastante cuidado com as receitas de bolo tidas como milagrosas para resolver tanto aquele problema de performance, mais também os problemas de segurança, como ataques DDoS e DoS, que vocês sofrem todos os dias.

Se você achar um artigo em português, copie as dicas de configuração, jogue-as no google e verifique se alguém, nos EUA, por exemplo, não as publicou primeiro e com uma explicação bem melhor do porquê delas. Eu faço isso sempre.

Só stress constrói, já dizia um amigo. Esse ditado é verdadeiro e quer dizer o seguinte, quanto mais tempo uma pessoa tiver administrando grandes ambientes web, mais ela saberá o que não fazer para ferra-lo.

Curso de Hardening

Tive a ideia de montar um curso de hardening, com um valor acessível para maioria das pessoas, diga-se de passagem, e tenho me deparando com inúmeros artigos e configurações que eu gostarei e muito de apresentar e discutir, além é claro, de colocá-los à prova.

Well, nos veremos por lá.

A, eu já ia esquecendo. Não existe hardening que garanta 100% da segurança do seu ambiente, mas sim, um hardening que garantirá um ventilador em velocidade bem mais reduzida na hora que a merda cair nele. 🙂

COMPARTILHE ESTE ARTIGO

COMENTÁRIOS

10 comentários em “Pesquisando um pouco sobre hardening

  1. Dayvidson Bezerra

    Como você andou pesquisando muito sobre o assunto para Web, qual livro é indicado para se ter um melhor estudos sobre o assunto?

    O livro pode ser em Inglês.

    Pretendo fazer o curso com você, só vou ver questões de agenda.

  2. ryuuu

    só uma curiosidade gustavo.. pelo que percebo pelo seus posts (leio seu blog todos os dias! por favor não pare com ele! ;D), quando o assunto é servidor, você sempre fala de servidor web e tal.. sua especialidade é servidores web? se sim, qual é a sua opinião sobre este tipo de trabalho com servidores web. O que me diz do mercado.

    Abraços!

  3. André

    Gustavo, boa noite eu já recebi a confirmação do PagSeguro masnão recebi a sua confirmação?Quando ela será feita?Obrigado.

  4. Julio

    Gustavo, você pretende lançar esses cursos novamente lá pro meio do ano? Linux LPI e Hardening?

    Valeu

  5. Marcelo

    Boa, me interessa esse curso de hardening. Uma pergunta ele é específico para ambientes web ou entrará em Servidores de uma mais ampla?

DEIXAR UM COMENTÁRIO

MENU