[FUG-BR] Infra Web Services
Rafael Henrique Faria
rafaelhfaria em cenadigital.com.br
Sexta Maio 20 17:13:12 BRT 2016
2016-05-20 16:23 GMT-03:00 Paulo Henrique - BSD Brasil <paulo.rddck em bsd.com.br>:
>
>
> On 20/05/16 15:40, Wilson Mendes wrote:
>> Prezado Ricardo, a fug têm uma enciclopédia de informação sobre o
>> assunto, assim como un excelente índice. Pesquise e a sua possível
>> dúvida ainda existir, será de grande colaboração para essa
>> enciclopédia viva.
>>
>> Abs
>>
>> Sent with AquaMail for Android
>> http://www.aqua-mail.com
>>
>>
>> On May 20, 2016 10:56:42 AM Ricardo Ferreira
>> <ricardo.ferreira em sotech.com.br> wrote:
>>
>>> Senhores,
>>>
>>>
>>> Tenho que implementar uma infra para suporte a Web Services e claro que
>>> quero fazer em FreeBSD. Tenho algumas idéias como Apache mais Tomcat por
>>> exemplo, dentre outras... mas gostaria de ouvir dos companheiros
>>> sugestões, experiências, soluções de segurança, críticas dentre outros
>>> detalhes a fim de alimentar o processo decisório....Um detalhe
>>> importante é que segurança se impõe sobre todos os outros aspectos.
>>>
>>> []s
>>>
>>>
>>> Ricardo Ferreira
>>>
>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> Cuidado com Top-posting, acaba estragando o histórico da lista.
>
> Bom vamos lá.
>
> Primeiro, que bom que considerando o FreeBSD como sistema operacional
> base para a sua solução, contudo tem que ser realista.
>
> Não acompanho o projeto tomcat para saber como está ele com relação as
> outras plataformas ( Linux/Windows ), contudo se o foco é segurança
> creio que usar uma tecnologia Java já é um tiro no pé que irá levar pelo
> menos uma perna, o java vem sendo constantemente colocado em check
> quanto a segurança, é a unica consideração que tenho negativa quanto ao
> proposto, porém é desenvolvido e mantido pela fundação Apache que são
> muito competentes no quesito segurança, posso estar falando m*****
> devido a minha ignorância quanto a este software em especifico.
>
> Quanto ao FreeBSD mesmo, não há nenhuma critica negativa só positiva,
> porém só opte pelo mesmo caso possua expertice, o FreeBSD faz a parte
> dele que é disponibilizar um software seguro, estável e perfomatico com
> diversos recursos em cada um desses pilares, porém de nada adianta ter
> um bugati nas mãos e não passar dos 100Km/h em uma pista que permite
> chegar a 800Km/h.
> Ative os recursos do Framework MAC mantidos pelo TrustedBSD Project.
> Ative a auditoria do sistema e coloca um servidor de Logs aparte para
> manter um acompanhamento pro-ativo dos serviços
> Compile o kernel removendo coisas desnecessárias, sei que muitos
> administradores hoje já não compilam mais o kernel do FreeBSD em busca
> de perfomance ou o fazem somente quando o recursos só estará disponivel
> on-kerrnel, contudo sou da premissa de que quanto menor a quantidade de
> codigo na memoria menor a possibilidade de algum exploit funcionar.
> Ajuste as sysctls relacionadas a desempenho de rede e do próprio sistema.
> Amplie os mbuffers de requisição da rede, ajuda muito na performance do
> sistema, principalmente quando este estiver com alto load.
> Ative o securelevel 3 caso a aplicação permita ou se possivel coloca o
> tomcat em uma Jail e mantenha um cluster Ativo/Ativo entre as jails e
> dois servidores fisicos e terá uma redundância que precisará de muito
> esforço da lei de murphe para derrubar.
> Como o seu objetivo é segurança e caso possa expertice aceitável no que
> tange a segurança da informação demais softwares abaixo tem algumas
> dicas que valem a pena explorar.
>
> Instale e configure o IDS/IPS Suricata a parte da sua infraestrutura de
> serviços.
> Separe o banco de dados do servidor de aplicações e valide tudo o que
> acessar ele, revise o código da aplicação e tente forçar os
> desenvolvedores a terem práticas realmente seguras de codificação e
> comunicação entre a aplicação e o banco de dados.
> Ative o firewall em todos os seus servidores contudo com metodologias
> diferentes, no firewall de borda deixa passar com filtragem stateless
> apenas requisições para o servidor de aplicações contudo limitado a
> porta do socket de comunicação e no firewall do servidor de aplicações
> trabalhe com firewall statefull.
> Há muitas outras técnicas de harderning disponiveis para o FreeBSD e
> ambientes de Web Services, há muita literatura na Internet.
>
> Qualquer coisa estamos ai.
>
> Abraços e por favor seria muito bom depois disponibilizar um case da
> solução para que outros tenha um ponto de partida.
>
>
>
> --
> ##################################################
> :UNI><BSD User:
> Paulo Henrique
> Cel: (21) 98253-9727
> Fone: (21) 3708-9388
> ##################################################
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Boa tarde Ricardo,
a única recomendação que gostaria de fazer, é você estudar colocar o
NGINX no lugar do Apache como frontend server. Como o mesmo já possui
um AJP muito bem implementado, e um uso de memória bem mais eficiente
do que o Apache, o mesmo acaba sendo muito menos custoso para o
hardware, por experiência própria. Assim deixando mais recursos do
hardware para o próprio Java, que por si só, já é um devorador de
recursos.
Abraços
--
Rafael Henrique da Silva Faria
Mais detalhes sobre a lista de discussão freebsd