HARDENING Y ESTÁNDAR DE SERVIDORES Referencia: TEC-PRO-05
Probar conexión al servidor por medio de SSH desde el servidor de Ansible inicialmente
con el usuario root y con nombre de servidor correspondiente, instalar la última versión
de python.
Crear usuario Pagomío, con permisos de autenticación por medio de llave SSH y clave
alfanumerica, mínimo 8 caracteres, mínimo 1 carácter especial y mínimo una letra
mayúscula.
Realizar el hardening basado en las recomendaciones del Center for Internet Security
(CIS) para Ubuntu LTS - “CIS Ubuntu Linux 16.04 LTS Benchmark v1.0.0 - 10-04-2016”
https://www.cisecurity.org/cis-benchmarks/
Como repositorios siempre asegurar que sea de una fuente confiable
Para el servidor NTP usar horalegal.inm.gov.co
Después de asegurar el hardening del servidor, realizar la configuración respectiva
dependiendo del rol que se requiera, puede ser Base de Datos o Web.
SERVIDOR WEB
Aplicaciones que se requieren para el ambiente de Pagomío son:
- Apache (apache2)
- PHP 5.6
- Modsecurity (modsecurity-crs)
- Redis (redis-server, redis-server)
- Symfony
- Agente de Monitoreo y seguimiento de logs
HARDENING Y ESTÁNDAR DE SERVIDORES Referencia: TEC-PRO-05
Instalación de Apache
Realizar la instalación de la última versión disponible:
sudo add-apt-repository ppa:ondrej/apache2
sudo apt-get update
sudo apt-get install apache2
Asegurarse de tener instalados y habilitados solo los siguientes módulos de
Apache:
core_module (static)
so_module (static)
watchdog_module (static)
http_module (static)
log_config_module (static)
logio_module (static)
version_module (static)
unixd_module (static)
access_compat_module (shared)
alias_module (shared)
auth_basic_module (shared)
authn_core_module (shared)
authn_file_module (shared)
authz_core_module (shared)
authz_host_module (shared)
authz_user_module (shared)
deflate_module (shared)
dir_module (shared)
HARDENING Y ESTÁNDAR DE SERVIDORES Referencia: TEC-PRO-05
env_module (shared)
filter_module (shared)
mime_module (shared)
mpm_prefork_module (shared)
negotiation_module (shared)
php5_module (shared)
reqtimeout_module (shared)
rewrite_module (shared)
security2_module (shared)
setenvif_module (shared)
socache_shmcb_module (shared)
ssl_module (shared)
unique_id_module (shared)
Realizar el hardening basado en las recomendaciones del Center for Internet Security
(CIS) para Apache Server - “CIS Apache HTTP Server 2.4 Benchmark v1.3.1 -
08-17-2017” https://www.cisecurity.org/cis-benchmarks/
Instalación de PHP
Para el buen funcionamiento de la aplicación se debe realizar la instalación de la
versión 5.6 actualizando constantemente a la última versión menor, por medio de los
siguientes pasos:
sudo add-apt-repository ppa:ondrej/php
sudo apt-get install php5.6
sudo apt-get install php5.6-mbstring
sudo apt-get install php5.6-mcrypt
sudo apt-get install php5.6-mysql
sudo apt-get install php5.6-xml
HARDENING Y ESTÁNDAR DE SERVIDORES Referencia: TEC-PRO-05
Instalar Git para realizar el manejo de versionamiento de la aplicación por medio de
Bitbucket proveedor de servicio, la cuenta de sistemas@gluky.com realiza la
administración del versionamiento de la aplicación.