2016-05-20 16:23 GMT-03:00 Paulo Henrique - BSD Brasil <paulo.rd...@bsd.com.br>: > > > On 20/05/16 15:40, Wilson Mendes wrote: >> Prezado Ricardo, a fug têm uma enciclopédia de informação sobre o >> assunto, assim como un excelente índice. Pesquise e a sua possível >> dúvida ainda existir, será de grande colaboração para essa >> enciclopédia viva. >> >> Abs >> >> Sent with AquaMail for Android >> http://www.aqua-mail.com >> >> >> On May 20, 2016 10:56:42 AM Ricardo Ferreira >> <ricardo.ferre...@sotech.com.br> wrote: >> >>> Senhores, >>> >>> >>> Tenho que implementar uma infra para suporte a Web Services e claro que >>> quero fazer em FreeBSD. Tenho algumas idéias como Apache mais Tomcat por >>> exemplo, dentre outras... mas gostaria de ouvir dos companheiros >>> sugestões, experiências, soluções de segurança, críticas dentre outros >>> detalhes a fim de alimentar o processo decisório....Um detalhe >>> importante é que segurança se impõe sobre todos os outros aspectos. >>> >>> []s >>> >>> >>> Ricardo Ferreira >>> >>> >>> ------------------------- >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >> >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Cuidado com Top-posting, acaba estragando o histórico da lista. > > Bom vamos lá. > > Primeiro, que bom que considerando o FreeBSD como sistema operacional > base para a sua solução, contudo tem que ser realista. > > Não acompanho o projeto tomcat para saber como está ele com relação as > outras plataformas ( Linux/Windows ), contudo se o foco é segurança > creio que usar uma tecnologia Java já é um tiro no pé que irá levar pelo > menos uma perna, o java vem sendo constantemente colocado em check > quanto a segurança, é a unica consideração que tenho negativa quanto ao > proposto, porém é desenvolvido e mantido pela fundação Apache que são > muito competentes no quesito segurança, posso estar falando m***** > devido a minha ignorância quanto a este software em especifico. > > Quanto ao FreeBSD mesmo, não há nenhuma critica negativa só positiva, > porém só opte pelo mesmo caso possua expertice, o FreeBSD faz a parte > dele que é disponibilizar um software seguro, estável e perfomatico com > diversos recursos em cada um desses pilares, porém de nada adianta ter > um bugati nas mãos e não passar dos 100Km/h em uma pista que permite > chegar a 800Km/h. > Ative os recursos do Framework MAC mantidos pelo TrustedBSD Project. > Ative a auditoria do sistema e coloca um servidor de Logs aparte para > manter um acompanhamento pro-ativo dos serviços > Compile o kernel removendo coisas desnecessárias, sei que muitos > administradores hoje já não compilam mais o kernel do FreeBSD em busca > de perfomance ou o fazem somente quando o recursos só estará disponivel > on-kerrnel, contudo sou da premissa de que quanto menor a quantidade de > codigo na memoria menor a possibilidade de algum exploit funcionar. > Ajuste as sysctls relacionadas a desempenho de rede e do próprio sistema. > Amplie os mbuffers de requisição da rede, ajuda muito na performance do > sistema, principalmente quando este estiver com alto load. > Ative o securelevel 3 caso a aplicação permita ou se possivel coloca o > tomcat em uma Jail e mantenha um cluster Ativo/Ativo entre as jails e > dois servidores fisicos e terá uma redundância que precisará de muito > esforço da lei de murphe para derrubar. > Como o seu objetivo é segurança e caso possa expertice aceitável no que > tange a segurança da informação demais softwares abaixo tem algumas > dicas que valem a pena explorar. > > Instale e configure o IDS/IPS Suricata a parte da sua infraestrutura de > serviços. > Separe o banco de dados do servidor de aplicações e valide tudo o que > acessar ele, revise o código da aplicação e tente forçar os > desenvolvedores a terem práticas realmente seguras de codificação e > comunicação entre a aplicação e o banco de dados. > Ative o firewall em todos os seus servidores contudo com metodologias > diferentes, no firewall de borda deixa passar com filtragem stateless > apenas requisições para o servidor de aplicações contudo limitado a > porta do socket de comunicação e no firewall do servidor de aplicações > trabalhe com firewall statefull. > Há muitas outras técnicas de harderning disponiveis para o FreeBSD e > ambientes de Web Services, há muita literatura na Internet. > > Qualquer coisa estamos ai. > > Abraços e por favor seria muito bom depois disponibilizar um case da > solução para que outros tenha um ponto de partida. > > > > -- > ################################################## > :UNI><BSD User: > Paulo Henrique > Cel: (21) 98253-9727 > Fone: (21) 3708-9388 > ################################################## > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Boa tarde Ricardo, a única recomendação que gostaria de fazer, é você estudar colocar o NGINX no lugar do Apache como frontend server. Como o mesmo já possui um AJP muito bem implementado, e um uso de memória bem mais eficiente do que o Apache, o mesmo acaba sendo muito menos custoso para o hardware, por experiência própria. Assim deixando mais recursos do hardware para o próprio Java, que por si só, já é um devorador de recursos. Abraços -- Rafael Henrique da Silva Faria ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
