33 replies to this topic

[tankian_s]

Pos estoy pensando en montarme un pekeño webserver y ftp en un viejo pentium4 a 1700 ke tengo tirado por mi casa, pero la duda me viene a la hora de meterle una distro, ¿cual es la ke tira mejor? se ke muchos me diran ke meta una debian, pero la verdad es ke no me kiero complicar mcho la vida, ademas de ke tengo el espacio en disco un poco limitado (3 gigas).

Aparte de eso, me interesa saberke mods pal apache le deberia ponerle, por ke estoy un poco perdido, kiero usar php, algo de perl y phyton, pero no se si tirara en el apache sin instalarle nada.

Saludoss

[Bad_CRC]

mete gentoo

en la wiki de gentoo hay un tuto para meter apache con todo y tal.

[tankian_s]

mete gentoo

en la wiki de gentoo hay un tuto para meter apache con todo y tal.

sabia yo ke me iban a recomendar gentoo, pero eso de tener ke compilar todo lo k se mueva me da mucha pereza, aunke seguramente para tenerlo optimizado y tal mete el jentu ese

[tankian_s]

otra cosa, como base de datos me gustaria usar la mitica MySQL, pero el jefe de la empresa donde estoy haciendo las practicas me recomendo la postgre, pero no tengo ni puta idea de como se maneja esa. ¿alguien la ha probado? o si me recomiendan otra pues mejor

[phib]

Pues macho, con una debian iras sobrao.

apt-get install apache

Y ya lo tendras instalado y rulando.

[Frikjan]

usa postgre, le de mil vueltas a mysql, sobretodo si tienes que meterte en temas de triggers, transacciones o subconsultas.

[tankian_s]

Pues macho, con una debian iras sobrao.

apt-get install apache

Y ya lo tendras instalado y rulando.

esa es la unica ventaja k le veo al debian, pero no kiero complicarme tanto la vida, y ademas, el apt lo pongo en la distro ke me instal y punto

[Zamorate]

Puedes meterle la que mas te guste, vamos, que todas van a funcionar igual. Yo en mis servidores ahora mismo tengo gentoo y debian, y en el que ahora tiene gentoo antes tenía mandrake, asi que ya ves, cualquiera vale.
Sobre los mods, depende lo que quieras, yo tengo mod_php y mod_ssl.

Agur

[th1nk3r]

Consejos basicos:
- NO instalar entorno grafico, puede parecer tonto, pero hay mucha gente que le mete entornos graficos a los servidores.... ¿pa que? ¿pa gastar recursos? se puede administrar todo a distancia y ni siquiera necesitas teclado ni monitor xDD
- Quitar los users que no vayas a usar, y por supuesto capar todos los servicios inutiles.
- Firewall imprescindible.

Si eres paranoico:
- Mete los servers en jaulas chroot independientes. No es infalible pero jode un puñao xDD

La distro da igual, pero NO te guies por lo complicado y sencillo que sea de instalar (solo lo vas a hacer 1 vez xDD), sino por la actualizacion.
Yo en mi server uso Gentoo porque su organizacion interna me parece mas comprensible que la de Debian, y no hace falta compilar cada 2 por 3, solo cuando salen actualizaciones importantes de apache. Si no te gusta, mejor ponte Debian, pero NO te pongas SuSE, ni MDK, ni Redhat ni ubuntu ni nada parecido.
Otra cosa, si es posible instalate los servidores desde el codigo fuente dentro de jaulas chroot, y configura todos los ficheros a mano fijandote bien en todas las instrucciones. Puede parecer paranoico pero dejar una maquina desprotegida puede resultar "peligroso" y no por lo que puedan sacar de ella, sino por lo que "pueden" hacer con ella.

[NeoRagod]

Mmmmm eso de las jaulas de chroot como es, o como se hace, eso me llama la atencion.

[th1nk3r]

Veo que tienes Gentoo, funciona de forma parecida a la jaula que usas durante la instalacion.
Lo que haces es "encerrar" el apache (o mysql o el server ftp...) en un sistema independiente. Tiene su propio sistema de archivos, etc. Digamos que la version de apache que tienes instalada tiene un fallo gordo, gordo, gordo que permite que un usuario se haga con el fichero shadow de forma sencilla... tu apache estara en un sistema que NO tiene fichero shadow (o que esta vacio xD) y asi con todo. No tiene ejecutables (solo los del apache), no tiene compilador, seguramente ni tenga permisos de escritura fuera de los directorios propios del server (/www o lo que sea).
Un atacante puede darse cuenta porque el directorio raiz no tiene el i-nodo correspondiente a "un direcotrio raiz", pero aun asi tiene que conseguir subir un programa al server y ejecutarlo, y sin compilador u otros programas de ayuda puede resultar "mas complicado" de lo normal.
No hace el sistema infalible, pero el tenerlo separado del resto del S.O. puede ayudar bastante.

Ademas, con los parches adecuados del kernel, no deberias tener peligro de ataques de acceso a memoria.

El actualizar las jaulas es muy coñazo (compilar a mano, copiar ficheros uno a uno a mano, buscar las librerias usadas por los binarios una a una, etc) pero al final se convierte en rutina y en 5 minutos actualizas. Para lo de las librerias se usa "strings" y "ldd"
En el caso de algunos programas (servers ftp o ssh por ejemplo) ya vienen con una opcion en la configuracion que les permite actuar como si estuvieran en una de esas jaulas, por lo que es mas sencillo

Un poco de ayuda:
http://www.securityf...om/infocus/1694
http://www.securityf...om/infocus/1706
http://www.securityf...om/infocus/1726

Pero ya digo que esto es para los muuuuy paranoicos que se ponen gr_security en el kernel, los parches de la NSA y toda la pesca xDD

[Zamorate]

No entiendo porque dices que no ponga suse, ubuntu, mandrake, etc.. Mandrake por ejemplo tiene una opcion en la instalación que instalas lo minimo y luego vas instalando lo que quieras con urpmi, vamos, que a mi no me parece mal que se usen esas distros en un servidor. Total, todas son linux.

Agur

P.D.:Ojo, que a mi tambien me parece mejor debian o gentoo en un servidor (esta ultima mas, me gusta mas como funciona).

[Frikjan]

Pues la verdad, como mejor opción no voy a recomendar ni gentoo ni freebsd ni hostias. El mejor sistema que puedas tener en tu servidor es aquel que domines y listo.

Vale que unas u otras opciones te permiten facilidad de actualización etcétera, pero si no dominas el sistema, seguirás siendo un colador o bien te costará configurártelo.

[th1nk3r]

No entiendo porque dices que no ponga suse, ubuntu, mandrake, etc.. Mandrake por ejemplo tiene una opcion en la instalación que instalas lo minimo y luego vas instalando lo que quieras con urpmi, vamos, que a mi no me parece mal que se usen esas distros en un servidor. Total, todas son linux.

Lo digo mas que nada por las configuraciones por defecto, y su capacidad para "facilitar" la configuracion. Ademas SuSE, MDK y RedHat suelen modificar y parchear las versiones que meten de su software (que no digo que lo hagan con apache), y eso a veces puede traer algun problemilla extra (a mi me ha pasado )

Pero como dice Frikjan lo mejor es elegir el sistema que mas conozcas. Un linux mal configurado es mas inseguro que un windows bien configurado... cuanto mejor conozcas el sistema mejor, por eso he elegido gentoo en el server en lugar de debian (aunque con debian actualizaria mucho mas a menudo xD)

[Bad_CRC]

yo tengo fedora core de servidor en dos sitios y tira de puta madre.

de echo FL va sobre fedora.

[Frikjan]

Con gentoo lo guapo son los GLSA (idea seguramente sacada de debian) y además que pronto los incluirán en el portage, con su consiguiente mejora.

[th1nk3r]

yo tengo fedora core de servidor en dos sitios y tira de puta madre.
de echo FL va sobre fedora.

No dudo que vaya de puta madre, pero no me gusta la forma en que configuran por defecto algunos de sus paquetes, ni la instalacion y actualizacion de paquetes por rpm (aunque tengan apt), asi que en mi caso no se lo recomiendo xD

[th1nk3r]

Con gentoo lo guapo son los GLSA (idea seguramente sacada de debian) y además que pronto los incluirán en el portage, con su consiguiente mejora.

La verdad es que los GLSA son una gozada, en el server es practicamente lo unico que miro para actualizar regularmente (el resto de software solo lo actualizo cuando me da por ahi)
Lo que me ha fastidia de gentoo son los cambios que hacen de vez en cuando en los paquetes, y aunque te avisen con antelacion fastidian. Por ejemplo, los "nuevos" cambios de configuracion de apache, que como no te enteres de antemano luego te llevas un susto tremendo xD

[NeoRagod]

Grax por la info de las jaulas chroot, las aplicare cuando actualiza ´por completo mi server, y le meta gentoo, que ahora el server (mi pc normal tiene gentoo) esta en fedora 3 y la verdad va excelente para ser una PII.Y l verdad no se me habia ocurrido algo asi para proteger un sistema.

[th1nk3r]

Grax por la info de las jaulas chroot, las aplicare cuando actualiza ´por completo mi server, y le meta gentoo, que ahora el server (mi pc normal tiene gentoo) esta en fedora 3 y la verdad va excelente para ser una PII.Y l verdad no se me habia ocurrido algo asi para proteger un sistema.

Esta muy bien para proteger el sistema, pero es terriblemente tedioso actualizar, tenlo en cuenta. Este verano tengo que hacer muchos cambios en mi server, y me quiero crear algun tipo de script que me permita actualizar la jaula chroot al actualizar el apache/mod_php con gentoo.. ya veremos como sale

[NeoRagod]

Esta muy bien para proteger el sistema, pero es terriblemente tedioso actualizar, tenlo en cuenta. Este verano tengo que hacer muchos cambios en mi server, y me quiero crear algun tipo de script que me permita actualizar la jaula chroot al actualizar el apache/mod_php con gentoo.. ya veremos como sale

xDD eso de actualizar seria por temporadas, creo que tiene 6 meses que no le mete un update a mi server y sigue como si, nada, ya despues le meto gentoo, aunque quiero cambiar el server por una nano-ITX para tenerla junto en el escritorio como lonchera xD