HARDENING Y ESTÁNDAR DE SERVIDORES  Referencia: ​TEC-PRO-05 

HARDENING Y ESTÁNDAR DE SERVIDORES 

 
OBJETIVO: 
Generar  la  línea  base para los servidores que componen la infraestructura de Pagomío 
(Aplicaciones  y  Base  de  Datos)  usando  las  mejores  prácticas  para  el  funcionamiento 
de la plataforma con respecto a infraestructura y seguridad de la información. 
 
ALCANCE: 
Servidores  que  componen  la  infraestructura  para  la  aplicación Pagomío, ambiente de 
pruebas y producción. 
 
PROCESO: 
Los  servidores  para  la  plataforma  de  Pagomío  están alojados en los servidores virtuales 
privados  de  Digital  Ocean  (​https://www.digitalocean.com/​)  con  los  usuarios  de 
administración  ​tickets@gluky.co  o  ​sistemas@gluky.co  asigandas  al  equipo  de 
infraestructura correspondiente y en la subcuenta con nombre Pagomío. 
 
Estando en la cuenta Pagomío crear un servidor con las especificaciones siguientes: 
 
- Sistema operativo: Ubuntu 16.04.3 x 64 
- Recursos de hardware: Depende del diseño realizado para la aplicación 
- Centro  de  Datos:  New  York  3  (Para  tener  conexión  en  red  privada  con  los 
servidores correspondientes a Pagomío) 
- Seleccionar la opción “Private networking” 
- Agregar la llave de conexión con nombre “Ansible” 
- Ingresar  el  nombre  del  servidor  (Nombre  del  dominio  y  para  base  de  datos 
anteponer db.”nombre del dominio”. Ejemplo: pagomio.co y db.pagomio.com) 
 
Por  medio  de  la  misma  plataforma  de  DigitalOcean  administrar  los  DNS  del  dominio  y 
agregar el nuevo servidor para que se pueda identificar por medio del nombre. 
 
 
HARDENING Y ESTÁNDAR DE SERVIDORES  Referencia: ​TEC-PRO-05 

 
Probar  conexión  al  servidor  por  medio  de  SSH desde el servidor de Ansible inicialmente 
con  el  usuario  root  y  con  nombre  de  servidor correspondiente, instalar la última versión 
de python. 
 
Crear  usuario  Pagomío,  con  permisos  de  autenticación por medio de llave SSH y clave 
alfanumerica,  mínimo  8  caracteres,  mínimo  1  carácter  especial  y  mínimo  una  letra 
mayúscula. 
 
Realizar  el  hardening  basado  en  las  recomendaciones  del  Center  for  Internet  Security 
(CIS)  para  Ubuntu  LTS  -  “CIS  Ubuntu  Linux  16.04  LTS  Benchmark  v1.0.0  -  10-04-2016” 
https://www.cisecurity.org/cis-benchmarks/ 
 
Como repositorios siempre asegurar que sea de una fuente confiable 
 
Para el servidor NTP usar horalegal.inm.gov.co 
 
Después  de  asegurar  el  hardening  del  servidor,  realizar  la  configuración  respectiva 
dependiendo del rol que se requiera, puede ser Base de Datos o Web. 

SERVIDOR WEB 
Aplicaciones que se requieren para el ambiente de Pagomío son: 
 
- Apache (apache2) 
- PHP 5.6 
- Modsecurity (modsecurity-crs) 
- Redis (redis-server, redis-server) 
- Symfony 
- Agente de Monitoreo y seguimiento de logs  
 
 
HARDENING Y ESTÁNDAR DE SERVIDORES  Referencia: ​TEC-PRO-05 

 
Instalación de Apache  
 
Realizar la instalación de la última versión disponible: 
 
sudo add-apt-repository ppa:ondrej/apache2 
sudo apt-get update 
sudo apt-get install apache2 
 
Asegurarse  de  tener  instalados  y  habilitados  solo  los  siguientes  módulos  de 
Apache: 
 
core_module (static) 
so_module (static) 
watchdog_module (static) 
http_module (static) 
log_config_module (static) 
logio_module (static) 
version_module (static) 
unixd_module (static) 
access_compat_module (shared) 
alias_module (shared) 
auth_basic_module (shared) 
authn_core_module (shared) 
authn_file_module (shared) 
authz_core_module (shared) 
authz_host_module (shared) 
authz_user_module (shared) 
deflate_module (shared) 
dir_module (shared) 
 
 
HARDENING Y ESTÁNDAR DE SERVIDORES  Referencia: ​TEC-PRO-05 

env_module (shared) 
filter_module (shared) 
mime_module (shared) 
mpm_prefork_module (shared) 
negotiation_module (shared) 
php5_module (shared) 
reqtimeout_module (shared) 
rewrite_module (shared) 
security2_module (shared) 
setenvif_module (shared) 
socache_shmcb_module (shared) 
ssl_module (shared) 
unique_id_module (shared) 
 
Realizar  el  hardening  basado  en  las  recomendaciones  del  Center  for  Internet  Security 
(CIS) para Apache Server - ​“CIS Apache HTTP Server 2.4 Benchmark  v1.3.1  - 
08-17-2017” ​ ​https://www.cisecurity.org/cis-benchmarks/ 
 
Instalación de PHP  
 
Para  el  buen  funcionamiento  de  la  aplicación  se  debe  realizar  la  instalación  de  la 
versión  5.6  actualizando  constantemente  a  la  última  versión  menor,  por  medio  de  los 
siguientes pasos: 
 
sudo add-apt-repository ppa:ondrej/php 
sudo apt-get install php5.6 
sudo apt-get install php5.6-mbstring 
sudo apt-get install php5.6-mcrypt 
sudo apt-get install php5.6-mysql 
sudo apt-get install php5.6-xml 
 
 
HARDENING Y ESTÁNDAR DE SERVIDORES  Referencia: ​TEC-PRO-05 

sudo apt-get install php5.6-cli 

sudo apt-get install php5.6-bcmath 
sudo apt-get install php5.6-redis 
sudo apt-get install php5.6-curl 
sudo apt-get install php5.6-gd 
sudo apt-get install php5.6-intl 
sudo apt-get install php5.6-oauth 
sudo apt-get install php5.6-soap 
sudo apt-get install php5.6-zip 
sudo apt install libapache2-mod-php5.6 
 
Para asegurar la aplicación seguir las recomendaciones de PHP y Owasp, indicadas en 
los siguientes enlaces:  
● http://php.net/manual/es/security.php 
● https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet 
 
PHP  en  la  versión  5.6  cuenta  con  soporte  de  seguridad  hasta  el  31  de  diciembre  de 
2018. 
 
Otros componentes 
 
Instalar el ModSecurity como Web Aplication Firewall 
Configurar el certificado ssl 
No habilitar el PHP my Admin 
Instalar el agente de monitoreo 
 
Configurar  autenticación  doble  factor  para  la  administración,  con  usuario,  clave  y 
llave privada a la persona según la Matriz de Responsabilidades definida. 
 
 
 
HARDENING Y ESTÁNDAR DE SERVIDORES  Referencia: ​TEC-PRO-05 

Instalar  Git  para  realizar  el  manejo  de  versionamiento  de  la  aplicación  por  medio  de 
Bitbucket  proveedor  de  servicio,  la  cuenta  de  ​sistemas@gluky.com  realiza  la 
administración del versionamiento de la aplicación. 
 
 

SERVIDOR DE BASE DE DATOS 

Instalar  MySQL  última  versión  con  los  siguientes  parámetros  de  instalación 
(mysql_secure_installation):  
● Seguridad en clave: Yes 
● Strong:  STRONG  Length  >=  8,  numeric,  mixed  case,  special  characters  and 
dictionary 
● Remove anonymous users? Y 
● Disallow root login remotely? Y 
● Remove test database and access to it? Y 
● Reload privilege tables now? Y 
 
Crear  la  base  de  datos  para  la  aplicación  y  usuario  con  permiso  sobre  la  base  de 
datos,  dar permiso al usuario para conexión desde el servidor de la Aplicación web por 
medio de la IP de red privada. 
 
Deshabilitar  la  interfaz  de  red  publica  del  servidor  de  base  de  datos,  solo  dejar 
habilitada la red privada. 
Configurar  autenticación  solo  desde  el  servidor  web  por  medio  de  clave  y  llave 
pública. 

RESPALDO DE SERVIDOR WEB Y BASE DE DATOS 

Realizar  la  configuración  del  backup  en  los  servidores  web  y  base de datos por medio 
de  la  herramienta  Google  Cloud  SDK,  ya  que  el  respaldo  se  envía  con  protocolo 
seguro para Google Cloud Platform (Storage). 
 
 
HARDENING Y ESTÁNDAR DE SERVIDORES  Referencia: ​TEC-PRO-05 

MONITOREO Y CENTRALIZACIÓN DE LOGS 

Por  medio  de  la  herramienta  Site24x7  se  realiza  el  monitoreo  de  los  recursos  de  los 
servidores  y  los  servicios  principales  para  el  funcionamiento.  Adicional  se  tiene  la 
centralización de logs que usa el mismo agente de monitoreo. 
 
 
Autor: ​Departamento de Tecnología 
Aprobado por: ​Director de Tecnología 
Versión: ​01 
Fecha de creación: ​28 de diciembre de 2017 
 
REGISTRO DE CAMBIOS: 

Versión  Fecha  Descripción del cambio  Área  Responsable 

Se  agregó  nota  para  el 

02  16-02-2018  Tecnología  Juan David Osorio 
PHP