pulketo · January 11, 2020 19:47
diff --git a/seguridad-linux-hardening b/seguridad-linux-hardening
 Seguridad
 Daniel Guerrero
 Hardening Servidores

 Exámen, Practicas, Proyecto y Tareas: %25

 Mejores prácticas
 SSH
 Contraseñas
 HA
 Firewall
 SElinux
 Permisos


 Integridad
 +->no duplicidad
 +->no modificar
 	+->AIDE->MD5 para archivos y directorios para evitar modificaciones.
 Confidencialidad
 +->Redundancia
 +->HA
 Disponibilidad
 Disponibilidad de la Información
 +->Bonding
 +->RAID
 Integridad de la información
 MD5
 Mejores prácticas de manejo de archivos
 Backups
 ---------------------------
 Teaming:{Windows y VMWare}
 Bonding: Linux, 1PC tiene 2 o más tarjetas de red en un solo segmento
 +->Modos
 	+->Bond0:
 	+->Bond1:Activo-Pasivo
 	+->Bond2:
 	+->Bond3:
 	+->Bond4:Link Aggregation 802.11ad hasta 8 portchannels que aumentan BW (LACP Link Aggregation Channel Port)
 	+->Bond5:load balancing
 	+->Bond6:load balancing
 How:
 	nmcli connection add type bond ifname bond0
 	#nmcli connection add type bond ifname mybond0 bond.options "mode=1,miimon=100"
 	nmcli connection add type ethernet ifname ens33 master bond0
 	nmcli connection add type ethernet ifname ens37 master bond0
 	cat /proc/net/bonding/bond0
 	nmtui poner la bond otra ip

 Storage:
 +->Raid0: 100G+100G = 200G
 +->Raid1: 100G//100G = 100G espejo
 +->Raid5: con paridad 
 +->Raid6: con paridad 2bits (es mejor que Raid1+0)
 +->Raid1+0: [Raid1+Raid1]->Raid0

 Crear RAID:
 	1.		crear LV
 --------------------	
 	creamos un LVM que se pinte así en lsblk
 				sdb                                               8:16   0    4G  0 disk
 				└─sdb1                                            8:17   0    4G  0 part
 					├─extra-extra1                                253:10   0    1G  0 lvm   /extra1
 					├─extra-extra2                                253:11   0    1G  0 lvm   /extra2
 					├─extra-otro1                                 253:12   0    1G  0 lvm
 					└─extra-otro2                                 253:13   0 1020M  0 lvm	
 --------------------
 	2. 		mdadm
 				$ sudo mdadm --create /dev/md0 --level=raid5 --raid-devices=3 /dev/extra/disco1 /dev/extra/disco2 /dev/extra/disco3
 				$ sudo mdadm --manage /dev/md0 --add /dev/extra/disco4
 	2.1		ver si todo OK?
 				$ sudo mdadm --detail /dev/md0
 --------------------
 					/dev/md0:
 										 Version : 1.2
 							 Creation Time : Sat Jan 11 10:18:31 2020
 									Raid Level : raid5
 									Array Size : 1019904 (996.00 MiB 1044.38 MB)
 							 Used Dev Size : 509952 (498.00 MiB 522.19 MB)
 								Raid Devices : 3
 							 Total Devices : 4
 								 Persistence : Superblock is persistent

 								 Update Time : Sat Jan 11 10:21:08 2020
 											 State : clean
 							Active Devices : 3
 						 Working Devices : 4
 							Failed Devices : 0
 							 Spare Devices : 1

 											Layout : left-symmetric
 									Chunk Size : 512K

 					Consistency Policy : resync

 												Name : centoshard:0  (local to host centoshard)
 												UUID : d3c49146:ecf8ae71:d5a97b1c:50fda78c
 											Events : 19

 							Number   Major   Minor   RaidDevice State
 								 0     253       10        0      active sync   /dev/dm-10
 								 1     253       11        1      active sync   /dev/dm-11
 								 3     253       12        2      active sync   /dev/dm-12

 								 4     253       13        -      spare   /dev/dm-13				
 --------------------
 	2.5.	montar nuevo raid (/dev/md0)
 				$ sudo mkdir /mnt/raid5
 				$ sudo mkfs.ext4 /dev/md0
 				$ sudo mount /dev/md0 /mnt/raid5
 	3.		Hacerlo fallar
 				$ sudo mdadm --manage /dev/md0 -f /dev/extra/disco2
 	4.		restaurar
 	4.1		remover disco del array ~ quitar el disco del hardware
 				$ sudo mdadm --manage /dev/md0 -r /dev/extra/disco2
 	4.2		agregar el disco del array ~ poner un disco nuevo en el hardware
 				$ sudo mdadm --manage /dev/md0 --add /dev/extra/disco2
 	5. 		Convertirlo a RAID6:
 				$ sudo sudo mdadm --grow /dev/md/md0 --level 6
 	6.		Hacer un RAID1+0
 	6.1 	Parar el raid: 
 				$ sudo mdadm --stop /dev/md0
 				??$ sudo mdadm --manage /dev/md0 -f /dev/extra/disco1
 	6.2		Hacer un Raid1 con disco1 y disco2
 				$ sudo mdadm --create /dev/md0 --level=raid1 --raid-devices=2 /dev/extra/disco1 /dev/extra/disco2
 	6.3		Hacer un Raid1 con disco3 y disco4
 				$ sudo mdadm --create /dev/md1 --level=raid1 --raid-devices=2 /dev/extra/disco3 /dev/extra/disco4
 	6.3		Hacer un Raid0 con md0 y md1
 				sudo mdadm --create /dev/md2 --level=raid0 --raid-devices=2 /dev/md0 /dev/md1
 	6.4		Formatear el nuevo md2 
 				sudo mkfs.ext4 /dev/md2
 	6.5		Crear directorio y Montar el nuevo md2 
 				$ sudo mkdir /mnt/raid1mas0 
 				$ sudo mount /dev/md2 /mnt/raid1mas0
 --------------------				
 Intro:
 	SAN: Storage Network Array: 
 	NFS: Puerto:2049
 		+->hay que configurar /etc/exports para que no cualquiera se cuelgue
 	iSCSI: network drives->LUN Puerto:3260
 	FC:8,16,32Gb/s
 	FCoE
 	Infiniband (by melanox) 60 a 120 Gb/s
 --------------------
 	1. Crear un nuevo volumen logico llamado lv_nfs
 	2. instalar nfs (nfs-utils)
 	3. 
 	
 Origen:
 	$ sudo mkdir /mnt/nfs-origen
 	$ sudo systemctl start nfs && sudo systemctl enable nfs
 	$ sudo mkfs.ext4 /dev/extra/disco5
 	$ sudo mount /dev/extra/disco5 /mnt/nfs-origen
 	$ echo '/mnt/nfs-origen 192.168.0.100/32(rw,sync)' | sudo tee /etc/exports
 	Hasta aqui si intentamos montar en cliente, nos daría error de "no route to host"
 	$ sudo firewall-cmd --permanent --add-service=nfs
 	$ sudo firewall-cmd --permanent --add-service=mountd
 	$ sudo firewall-cmd --permanent --add-service=rpc-bind
 	$ sudo firewall-cmd --reload
 # permitir escritura??	PENDIENTE
 	$ sudo chmod a+w /mnt/nfs-origen

 Destino:	
 	$ sudo mount -v -t nfs 192.168.0.120:/mnt/nfs-origen /mnt/nfs-remote-120
 --------------------
 Politicas: Alieacion de usuarios, control, mayor protección.
 Políticas de contraseñas:
 	- Longitud al menos 12
 	- Mayúsculas
 	- Minúsculas
 	- Números
 	- Caracteres especiales
 	- NO Cadenas conocidas
 	- NO diccionario
 	- Diferentes caracteres
 	- Caducidad
 	- Historico (no se repitan las contraseñas anteriores)
 	- Intentos
 Librerías para lograr lo anterior
 	cracklib 
 --------------------
 sudo yum install epel-release -y
 sudo yum update -y
 sudo yum install lynis -y
 sudo lynis audit system


 Temas proxima clase:
 politicas de usuarios, contraseñas, autenticación.




 notas:
 	kdump->recomendado=RAM
 	agregar al lvm de linux.html lo del fdisk para que no se me olvide
 	rescan-scsi-bus.sh --remove --issue-lip (reload sdX sin reboot) agregar a linux.html
 	ISO27000 manual seguridad buenas prácticas
 	ISO27001 aplicacion de políticas
	Seguridad
	Daniel Guerrero
	Hardening Servidores

	Exámen, Practicas, Proyecto y Tareas: %25

	Mejores prácticas
	SSH
	Contraseñas
	HA
	Firewall
	SElinux
	Permisos


	Integridad
	+->no duplicidad
	+->no modificar
	+->AIDE->MD5 para archivos y directorios para evitar modificaciones.
	Confidencialidad
	+->Redundancia
	+->HA
	Disponibilidad
	Disponibilidad de la Información
	+->Bonding
	+->RAID
	Integridad de la información
	MD5
	Mejores prácticas de manejo de archivos
	Backups
	---------------------------
	Teaming:{Windows y VMWare}
	Bonding: Linux, 1PC tiene 2 o más tarjetas de red en un solo segmento
	+->Modos
	+->Bond0:
	+->Bond1:Activo-Pasivo
	+->Bond2:
	+->Bond3:
	+->Bond4:Link Aggregation 802.11ad hasta 8 portchannels que aumentan BW (LACP Link Aggregation Channel Port)
	+->Bond5:load balancing
	+->Bond6:load balancing
	How:
	nmcli connection add type bond ifname bond0
	#nmcli connection add type bond ifname mybond0 bond.options "mode=1,miimon=100"
	nmcli connection add type ethernet ifname ens33 master bond0
	nmcli connection add type ethernet ifname ens37 master bond0
	cat /proc/net/bonding/bond0
	nmtui poner la bond otra ip

	Storage:
	+->Raid0: 100G+100G = 200G
	+->Raid1: 100G//100G = 100G espejo
	+->Raid5: con paridad
	+->Raid6: con paridad 2bits (es mejor que Raid1+0)
	+->Raid1+0: [Raid1+Raid1]->Raid0

	Crear RAID:
	1. crear LV
	--------------------
	creamos un LVM que se pinte así en lsblk
	sdb 8:16 0 4G 0 disk
	└─sdb1 8:17 0 4G 0 part
	├─extra-extra1 253:10 0 1G 0 lvm /extra1
	├─extra-extra2 253:11 0 1G 0 lvm /extra2
	├─extra-otro1 253:12 0 1G 0 lvm
	└─extra-otro2 253:13 0 1020M 0 lvm
	--------------------
	2. mdadm
	$ sudo mdadm --create /dev/md0 --level=raid5 --raid-devices=3 /dev/extra/disco1 /dev/extra/disco2 /dev/extra/disco3
	$ sudo mdadm --manage /dev/md0 --add /dev/extra/disco4
	2.1 ver si todo OK?
	$ sudo mdadm --detail /dev/md0
	--------------------
	/dev/md0:
	Version : 1.2
	Creation Time : Sat Jan 11 10:18:31 2020
	Raid Level : raid5
	Array Size : 1019904 (996.00 MiB 1044.38 MB)
	Used Dev Size : 509952 (498.00 MiB 522.19 MB)
	Raid Devices : 3
	Total Devices : 4
	Persistence : Superblock is persistent

	Update Time : Sat Jan 11 10:21:08 2020
	State : clean
	Active Devices : 3
	Working Devices : 4
	Failed Devices : 0
	Spare Devices : 1

	Layout : left-symmetric
	Chunk Size : 512K

	Consistency Policy : resync

	Name : centoshard:0 (local to host centoshard)
	UUID : d3c49146:ecf8ae71:d5a97b1c:50fda78c
	Events : 19

	Number Major Minor RaidDevice State
	0 253 10 0 active sync /dev/dm-10
	1 253 11 1 active sync /dev/dm-11
	3 253 12 2 active sync /dev/dm-12

	4 253 13 - spare /dev/dm-13
	--------------------
	2.5. montar nuevo raid (/dev/md0)
	$ sudo mkdir /mnt/raid5
	$ sudo mkfs.ext4 /dev/md0
	$ sudo mount /dev/md0 /mnt/raid5
	3. Hacerlo fallar
	$ sudo mdadm --manage /dev/md0 -f /dev/extra/disco2
	4. restaurar
	4.1 remover disco del array ~ quitar el disco del hardware
	$ sudo mdadm --manage /dev/md0 -r /dev/extra/disco2
	4.2 agregar el disco del array ~ poner un disco nuevo en el hardware
	$ sudo mdadm --manage /dev/md0 --add /dev/extra/disco2
	5. Convertirlo a RAID6:
	$ sudo sudo mdadm --grow /dev/md/md0 --level 6
	6. Hacer un RAID1+0
	6.1 Parar el raid:
	$ sudo mdadm --stop /dev/md0
	??$ sudo mdadm --manage /dev/md0 -f /dev/extra/disco1
	6.2 Hacer un Raid1 con disco1 y disco2
	$ sudo mdadm --create /dev/md0 --level=raid1 --raid-devices=2 /dev/extra/disco1 /dev/extra/disco2
	6.3 Hacer un Raid1 con disco3 y disco4
	$ sudo mdadm --create /dev/md1 --level=raid1 --raid-devices=2 /dev/extra/disco3 /dev/extra/disco4
	6.3 Hacer un Raid0 con md0 y md1
	sudo mdadm --create /dev/md2 --level=raid0 --raid-devices=2 /dev/md0 /dev/md1
	6.4 Formatear el nuevo md2
	sudo mkfs.ext4 /dev/md2
	6.5 Crear directorio y Montar el nuevo md2
	$ sudo mkdir /mnt/raid1mas0
	$ sudo mount /dev/md2 /mnt/raid1mas0
	--------------------
	Intro:
	SAN: Storage Network Array:
	NFS: Puerto:2049
	+->hay que configurar /etc/exports para que no cualquiera se cuelgue
	iSCSI: network drives->LUN Puerto:3260
	FC:8,16,32Gb/s
	FCoE
	Infiniband (by melanox) 60 a 120 Gb/s
	--------------------
	1. Crear un nuevo volumen logico llamado lv_nfs
	2. instalar nfs (nfs-utils)
	3.

	Origen:
	$ sudo mkdir /mnt/nfs-origen
	$ sudo systemctl start nfs && sudo systemctl enable nfs
	$ sudo mkfs.ext4 /dev/extra/disco5
	$ sudo mount /dev/extra/disco5 /mnt/nfs-origen
	$ echo '/mnt/nfs-origen 192.168.0.100/32(rw,sync)' \| sudo tee /etc/exports
	Hasta aqui si intentamos montar en cliente, nos daría error de "no route to host"
	$ sudo firewall-cmd --permanent --add-service=nfs
	$ sudo firewall-cmd --permanent --add-service=mountd
	$ sudo firewall-cmd --permanent --add-service=rpc-bind
	$ sudo firewall-cmd --reload
	# permitir escritura?? PENDIENTE
	$ sudo chmod a+w /mnt/nfs-origen

	Destino:
	$ sudo mount -v -t nfs 192.168.0.120:/mnt/nfs-origen /mnt/nfs-remote-120
	--------------------
	Politicas: Alieacion de usuarios, control, mayor protección.
	Políticas de contraseñas:
	- Longitud al menos 12
	- Mayúsculas
	- Minúsculas
	- Números
	- Caracteres especiales
	- NO Cadenas conocidas
	- NO diccionario
	- Diferentes caracteres
	- Caducidad
	- Historico (no se repitan las contraseñas anteriores)
	- Intentos
	Librerías para lograr lo anterior
	cracklib
	--------------------
	sudo yum install epel-release -y
	sudo yum update -y
	sudo yum install lynis -y
	sudo lynis audit system


	Temas proxima clase:
	politicas de usuarios, contraseñas, autenticación.




	notas:
	kdump->recomendado=RAM
	agregar al lvm de linux.html lo del fdisk para que no se me olvide
	rescan-scsi-bus.sh --remove --issue-lip (reload sdX sin reboot) agregar a linux.html
	ISO27000 manual seguridad buenas prácticas
	ISO27001 aplicacion de políticas
No results found