Jump to content
Sign in to follow this  
Deflagrator

Come fare il SysAdmin. Da dove iniziare?

Recommended Posts

Oggi vi pongo una domanda, che si pongono spesso molti utenti, soprattutto coloro che si avviano ad amministrare magari un piccolo VPS ,server o una macchina cloud, o che magari vogliono fare della gestione dei server la propria professione...

 

Come si diventa SysAdmin? Come lo siete diventati voi?

 

Come avete imparato i segreti dell'hardening? (la sicurezza è il problema più grande per un neosysadmin che porta la propria macchina online)

 

Vorrei che questa discussione diventasse una grande raccolta di esperienze e consigli, in modo che chi abbia voglia e soprattutto passione per entrare a far parte di quello che è, a mio avviso, uno dei più affascinanti settori tecnologici, possa farsi un idea di come muoversi.

Share this post


Link to post
Share on other sites

questa discussione e' stata gia' fatta in passato - se non ricordo male iniziata da Uno - ma non arrivo a trovarla; magari qualcuno puo' linkarla.

 

in ogni caso, io ho iniziato per gioco col computer di casa (con grande ritrosia da parte dei miei, visto che monopolizzavo il pc), poi quando ho fatto parte del lug si facevano esperimenti e cose interessanti, magari con qualcuno che ti spiegava le cose che non sapevi.

poi tanta tanta lettura e tante tante prove fatte cercando di capire il funzionamento delle cose, senza fare copia-incolla dagli howto (che vanno bene per una cosa veloce o una soluzione estemporanea, ma non e' la via da seguire).

 

poi ho iniziato a lavorare come sistemista e tante tante tante brutte figure :D

Share this post


Link to post
Share on other sites

 

Bhe è una discussione del 2009, ha 4 anni :D Credo che ne è passata di acqua sotto i ponti, e ci siano anhce più persone ;)

Share this post


Link to post
Share on other sites

si, mi riferivo proprio a quel thread.

 

li' nessuno s'e' fatto avanti, ma potremmo approfittarne per riproporre la cosa e cercare di tirarne fuori qualcosa di interessante.

Share this post


Link to post
Share on other sites

Discussione interessante, io stesso ultimamente sto giocherellando con macchine virtuali in locale per "farmi le ossa", solitamente inizio disabilitando l'utente root e abilitando sudo e un utente, poi passo al firewall e qui sarebbe interessante che qualcuno che mastica iptables suggerisse le regole che di solito utilizza, a parte le regole per un classico server LAMP:

 

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

 

iptables -A INPUT -i lo -j ACCEPT

 

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 

iptables -A INPUT -p tcp -m multiport --destination-ports 21,22,80,433 -j ACCEPT

 

Poi viene la parte per sti benedetti syn flood e qui si trovano in rete mille pareri diversi, tipo questo, non so farmi un'idea se il limite di 3 al secondo è poco o troppo, dipenderà dal carico del server?

 

iptables -A INPUT -p tcp --syn -m limit --limit 3/s -j ACCEPT

iptables -A INPUT -p tcp --syn -j DROP

 

oppure questo, il limite è di 1 al secondo, con burst fino a 4, ma nell'arco di quanto? E poi non mi è chiara l'ultima riga

 

iptables -N syn-flood

iptables -A INPUT -p tcp --syn -j syn-flood

iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN

iptables -A syn-flood -j DROP

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

 

Poi alcuni dicono di apportare le modifiche tramite Sysctl, e altri invece di non perderci manco tempo che non serve a un cappero :stordita:

 

Altro per iptables?

 

Andando avanti, (tenendo sempre come priorità la sicurezza) se oltre a me devo dare accesso ad altri alla macchina preferisco avvenga tramite ftp (proftpd), configurato con la jail nella root dell'utente, disabilitando eventualmente l'utente anonymous se presente.

 

Apache tirato su con php + suphp in modo che gli script vengano eseguiti come utente e non con l'utente di apache, bisognerebbe scegliere fra prefork e worker e dedicarsi al relativo tuning, io sinceramente anche se ho letto molto non saprei quale scegliere e dei valori adeguati, andrebbero fatte delle "linee guida" in base al traffico. Idem per un sistema di cache (apc?) devo ancora documentarmi.

 

Mysql ricordarsi di fare il fix di sicurezza dopo l'installazione (mysql_secure_installation) che andrà a eliminare tabelle di test, utente anonymus etc.. è molto importante. E poi via con il tuning, anche qui bisognerebbe che uno capace facesse un po' di scuola ;)

 

Poi andrebbe installato un software per il monitoraggio dei log (logcheck + fail2ban?).

 

 

Mi fermo qui :) Mi rendo conto che ci sarebbero altre mille cose da prendere in considerazione, come la messa in sicurezza delle partizioni che per me è algebra :stordita: un software di rilevamento dei rootkit etc..

 

Nei prossimi giorni mi metterò a sperimentare anche con la posta.

Share this post


Link to post
Share on other sites
Discussione interessante, io stesso ultimamente sto giocherellando con macchine virtuali in locale per "farmi le ossa", solitamente inizio disabilitando l'utente root e abilitando sudo e un utente, poi passo al firewall e qui sarebbe interessante che qualcuno che mastica iptables suggerisse le regole che di solito utilizza, a parte le regole per un classico server LAMP:

 

Nelle varie regole che hai inserito, quelle di output non servono a nulla. In alto metti come policy di default in output un ACCEPT, poi più sotto autorizzi in uscita solo un certo tipo di traffico ma che tanto sarebbe comunque accettato grazie alla policy di default, quindi la regola è del tutto inutile, tanto vale toglierla.

 

[color=#333333][font=Tahoma][i]# tutto ciò che non è SYN e che ha come stato NEW, viene droppato
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

[/i][/font]

[/color]

Share this post


Link to post
Share on other sites
si, mi riferivo proprio a quel thread.

 

li' nessuno s'e' fatto avanti, ma potremmo approfittarne per riproporre la cosa e cercare di tirarne fuori qualcosa di interessante.

 

Salve, a mio avviso, si potrebbe avviare un progetto anche qui su hostingtalk, creando una sorta di wikipedia in cui tutti possono partecipare/ampliare/aggiornare i vari argomenti (anche partendo dai tutorial che già ci sono), sotto la supervisione di una discussione sul forum per valutare i vari contenuti. La situazione migliore sarebbe avere una risorsa ampia che tratti, oltre all'argomento base, anche report di errori/soluzioni, configurazioni particolareggiate ecc.

Tutto questo però porta via tempo, va coordinato, costantemente aggiornato e monitorato.

 

Saluti

Share this post


Link to post
Share on other sites

Ti ringrazio guest per la precisazione :approved:

 

Sinceramente più che howto che ne è pieno il web e dopo pochi mesi diventano vecchi, partirei proprio dall'ABC. Ad esempio il comando più classico yum/apt-get update && upgrade, mettendo il caso di aver installato tutto tramite yum/apt, è sufficente quel comando per aggiornare tutto? E quanto è sicuro? Nel senso, viene lanciato tranquillamente in ambiente di produzione? Quali altre cose vanno aggiornate? (sempre tenendo conto di aver fatto tutto con yum/apt).

 

Se non sbaglio viene aggiornato anche il kernel, mentre googlavo c'era gente alle prese con un kernel panic.. non li invidio affatto, non essendo cose che puoi sperimentare in locale quando poi ti succedono sono volatili per diabetici :stordita:

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
Sign in to follow this  

×