Otimize uma nova instalação do servidor Ubuntu

Isso vai depender muito do que você quer usar o servidor, então qualquer coisa específica que sugerimos pode ser irrelevante para você ...

Meu conselho geral é que não comece fazendo uma instalação menor que a base e removendo os pacotes.

Eu costumo usar o Debian Stable para instalações de servidor, e eu garanto que nada que não o absoluto essencial aconteça na configuração inicial (incluindo a desmarcação do padrão "padrão") sistema "opção quando solicitado pelo tasksel durante o procedimento de instalação) e eu adiciono pacotes e configurações que são necessárias a partir desse ponto. Eu suponho que o mesmo poderia ser feito com uma instalação do servidor Ubuntu, já que o Ubuntu está muito próximo do Debian em muitos aspectos.

Primeiro, identifique os serviços (portas) que o seu servidor fornecerá, depois desabilite todo o resto, existem muitas ferramentas que você pode usar para proteger seu servidor como bastille ou tripwire. Dependendo dos serviços que você está executando, você precisa procurar por ajustes específicos do software instalado.

Eu não vou falar aqui muito sobre como otimizar isso, mas porque você perguntou sobre a instalação de um novo servidor, eu vou listar algumas questões sobre segurança ... mas cuidado com o exagero

1. Se estiver diante de uma rede "hostil", configure um firewall bem
2. Se é um servidor web - instale e configure também um proxy (o squid é bom)
3. Pense nisso quando se trata de atualização:
   • Se for um patch de segurança - instale-o
   • Se adicionar alguma funcionalidade - teste primeiro em um ambiente de "laboratório"
4. Configure um "tripwire" para monitorar o status de alguns arquivos de configuração e configurá-lo enviar um e-mail sempre que algo ocorrer (o e-mail deve ser enviado em um servidor remoto)
5. Se você achar que precisa, configure também um IDS (como "snort")
6. Instale "sysv-rc-conf" e desmarque todos os serviços que você não precisará.
7. Verifique com "netstat -tupan" se houver mais serviços na rede, se houver
8. Se você precisar de acesso ssh, configure o "acesso baseado em certificação" (chaves pública / privada) ou batida de porta.
9. Mantenha os registros ... verifique-os ... backup frequentemente ... verifique os backups
10. Use senhas decentes (não use a mesma senha!) - você pode gerá-las com "apg"
11. Tente quebrar seu próprio servidor e, em seguida, endureça mais
12. Google para SELinux e AppArmor

Primeiro: sudo apt-get install rcconf

sudo rcconf

... desative todos os serviços desnecessários. E reinicie o sistema

Por favor, desculpe o meu mau inglês ...

Parece que você está preocupado com a segurança.

Se esse for o caso, convém usar um md5sum e talvez uma cópia de ferramentas críticas de sistema de baixo nível que seriam usadas em caso de um comprometimento do sistema (como ls, ps, netstat, etc E md5sum) em seu estado primitivo antes de você conectar o sistema à Internet.

Em seguida, configure um processo para monitorar esses arquivos e notifique se os md5sums já foram alterados. Uma das primeiras coisas que a maioria dos rootkits faz é substituir essas ferramentas para ocultar sua presença em seu sistema.

Existe um pacote chamado bastille que pode ser usado para endurecimento do servidor .

Ele faz algumas perguntas sobre como o servidor será usado e reforça algumas das configurações de segurança padrão.

Pode valer a pena dar uma olhada.

Não faça nada. Nenhum ponto de ajustes até que você saiba que você tem um problema. Na maioria das vezes o linux estará pronto para o uso. Se você estiver executando 32 bits, você pode querer verificar o seu kernel para ter certeza de que ele pode usar toda a memória que você instalou.

Além disso, a única coisa que você faz em termos de desempenho é monitorar o sistema e seus aplicativos. Então, se você encontrar um problema, resolva-o.

No entanto, algumas coisas que você desejará abordar com antecedência.

Por exemplo Se de repente você decidir que precisa de mais IO e a melhor maneira de obtê-lo é a invasão 10, então a sua SOL se você não pensou nisso primeiro.

O ajuste básico que faço em qualquer máquina que eu executo é

1. Adicione o seguinte a cada sub-rotina do kernel em /etc/grub.conf e, em seguida, reinicialize

   elevador = prazo selinux = 0

2. edite /etc/fstab e adicione o seguinte a todas as partições locais e, em seguida, execute mount -o remount $PARTITION

   noatime

3. Remover slocate, mlocate (a menos que seja necessário)

Atualizar : explicação para as opções

1. elevator=deadline , leia mais aqui . selinux=0 , Eu descobri que o SELinux causa mais problemas do que resolve (não é para se conectar através do loopback, por exemplo) e, portanto, opta por desativá-lo e confiar nos padrões tradicionais de segurança.

2. noatime , sem essa opção, sempre que um arquivo ou diretório for tocado, isso inclui a leitura por find ou ls , o atributo atime do inode é atualizado. Esse E / S desnecessário pode reduzir significativamente o acesso ao sistema de arquivos ao executar operações de E / S em massa e pode ser desativado com segurança. O único aplicativo conhecido por não funcionar no Linux com esta opção desativada é o Mutt. Leia mais aqui .

3. slocate e os amigos constroem índices de fundo de seus arquivos periodicamente, esse processamento periódico pode causar picos esperados nos tempos de processamento para aplicativos intensivos de E / S, como bancos de dados. A menos que você precise da funcionalidade desses utilitários, prefiro removê-los.