Cada segundo, el sistema pub-sub principal de Pusher maneja 9,000 nuevas conexiones WebSocket. Sin sudar. Pero a principios de este año, cuando el sistema comenzó a recibir picos de 20,000 conexiones nuevas cada segundo por servidor , el sudor comenzó a caer en nuestras frentes. ¿Cuáles o quiénes eran estas nuevas conexiones? ¿Fueron maliciosos o equivocados? Lo más importante, ¿cómo podríamos mantener el sistema funcionando para todos los demás mientras tratamos con esta nueva fuerza misteriosa? Esta es la historia de cómo sofocamos la mayor amenaza para el tiempo de actividad de nuestro servicio durante varios años. El héroe que conocerá hoy es iptables , la herramienta poderosa (pero peligrosa) de Linux para interactuar con la pila de redes. ¡Ven con nosotros y tú también aprenderás a manejar iptables , y sus armas secretas conntrack y hashlimit , para implementar la limitación de velocidad por IP!

De repente, una tarde tranquila en marzo ...

En Pusher, una de nuestras métricas clave de salud es "nuevas conexiones WebSocket por segundo". Cada nueva conexión es, por ejemplo, una página web que hace pusher.connect() . Para nuestro clúster principal, esto funciona a 50 nuevas conexiones por servidor por segundo. Así que nos preocupaba cuando, en el transcurso de un día en marzo, los servidores aleatorios comenzaron a experimentar picos de 1.500 conexiones nuevas por segundo.

¿Qué es? Un DDOS? Parecía la técnica DDOS llamada "inundación SYN", en la cual el atacante abre muchas conexiones TCP falsas.

Recientemente le mostré por qué debería comenzar a usar Tor, el navegador para cualquier navegación web sensible. Pero, ¿y si te dijera que hay un sistema operativo completo basado en la red Tor? Se llama Tails y se puede ejecutar desde una memoria USB, disco DVD o máquina virtual.

Puede pensar que usar el navegador Tor es completamente razonable, pero la idea de un sistema operativo basado en Tor está a solo un paso de la paranoia completa. Pero piénsalo.

¿Cuántas veces usas la computadora de otra persona? ¿Cuántas veces usas una computadora de cibercafé? Cuando lo haga, no querrá ingresar contraseñas ni dejar ningún rastro de lo que ha estado viendo en línea.

Para protegerse de eso, puede enchufar su memoria USB con Tails instalado y navegar desde allí. No queda rastro de lo que hizo en línea en la computadora host y su ubicación geográfica está oculta por los relés Tor.

Pero no deberías ser totalmente complaciente. Tails en sí enumera una gran cantidad de razones por las cuales Tails todavía es parcialmente inseguro, por lo tanto, se debe mantener la precaución.

Gracias a un cierto mercado de drogas en línea llamado "Ruta de la Seda", es posible que se haya dado cuenta de que existe otra versión de Internet. Uno que no puede ser accedido por ningún navegador ordinario ni indexado por ningún motor de búsqueda ordinario.

Se llama Dark Web, que no debe confundirse con la Deep Web , que son sitios web a los que normalmente no se puede acceder debido a los muros de pago o las páginas de inicio de sesión protegidas con contraseña (como la banca en línea).

Dark Web tiene algunos usos válidos legítimos, como proteger la libertad de expresión de disidentes y activistas en países dirigidos por regímenes opresivos (como China). Pero sobre todo, la Dark Web ha sido referida como la "parte inferior oscura de la web". Mucho de esto comprende drogas, pornografía, juegos de azar, sicarios y varias otras empresas criminales.

Siendo ese el caso, puede preguntarse por qué vale la pena incluso mirarlo si no está inclinado de esa manera. Diría que vale la pena echarle un vistazo, incluso si es solo por curiosidad. Es un vistazo fascinante a otro mundo.

Un firewall que funcione correctamente es la parte más crucial de la seguridad completa del sistema Linux. Por defecto, la distribución de Debian y Ubuntu viene con una herramienta de configuración de firewall llamada UFW ( Firewall sin complicaciones ), es una herramienta de línea de comandos más popular y fácil de usar para configurar y administrar un firewall en las distribuciones de Ubuntu y Debian .

En este artículo, explicaremos cómo instalar y configurar un firewall UFW en distribuciones Ubuntu y Debian .

Prerrequisitos

Antes de comenzar con este artículo, asegúrese de haber iniciado sesión en su servidor Ubuntu o Debian con el usuario sudo o con la cuenta root. Si no tiene un usuario sudo, puede crear uno utilizando las siguientes instrucciones como usuario root.

# adduser username
# usermod -aG sudo username 
# su - username
$ sudo whoami

Instale UFW Firewall en Ubuntu y Debian

El UFW ( cortafuegos no complicado ) debe instalarse de manera predeterminada en Ubuntu y Debian; de lo contrario, instálelo con el administrador de paquetes APT con el siguiente comando.

$ sudo apt install ufw
     (O también)

$ sudo apt-get install ufw

Hay un nivel constante de altos ataques y escaneos de puertos en servidores Linux todo el tiempo, mientras que un firewall configurado correctamente y actualizaciones regulares del sistema de seguridad agregan una capa adicional para mantener el sistema seguro, pero también debe vigilar con frecuencia si alguien entra. También ayuda a garantizar que su servidor permanezca libre de cualquier programa que tenga como objetivo interrumpir su funcionamiento normal.

Las herramientas presentadas en este artículo se crean para estos análisis de seguridad y pueden identificar virus, malwares, rootkits y comportamientos maliciosos. Puede utilizar estas herramientas para realizar escaneos regulares del sistema, por ejemplo, todas las noches y enviar informes a su dirección de correo electrónico.

AIDE ( Advanced Intrusion Detection Environment ) es un programa para verificar la integridad de un archivo y directorio en cualquier sistema moderno similar a Unix. Crea una base de datos de archivos en el sistema y luego usa esa base de datos como criterio para garantizar la integridad de los archivos y detectar intrusiones en el sistema.

En este artículo, mostraremos cómo instalar y usar AIDE para verificar la integridad de archivos y directorios en la distribución de Fedora.

Cómo instalar AIDE en Fedora

1. La utilidad AIDE se incluye en Fedora Linux de manera predeterminada, por lo tanto, puede usar el administrador de paquetes dnf predeterminado para instalarlo como se muestra.

$ sudo dnf install aide  

Es posible que Oracle Clusterware no se inicie (root.sh en el segundo nodo falla con "Error en la comprobación final de la pila de Oracle CRS"), debido a un firewall (como iptables en Linux) configurado en la interconexión del clúster. Otros síntomas incluyen problemas de estabilidad y rendimiento moderados a graves, directamente relacionados con dichos firewalls. Algunos ejemplos son los desalojos falsos de nodos, 'IPC SEND / RECEIVE TIMEOUT' y el rendimiento lento / desigual.

Oracle RAC utiliza la interconexión del clúster para enviar bloques de caché de búfer entre instancias que se ejecutan en diferentes nodos. La interconexión del clúster también se usa para otros mensajes críticos más pequeños esenciales para la estabilidad y escalabilidad del clúster. IPtables o implementaciones de firewall similares son el método de filtrado de la capa 3 (red) del Modelo de referencia OSI y deben deshabilitarse en la interconexión del clúster ya que, por diseño, esta red es confiable.

En nuestra mega guía para fortalecer y asegurar CentOS 7, en la sección "proteger el sistema internamente", una de las herramientas de seguridad útiles que enumeramos para la protección del sistema interno contra virus, rootkits, malware y detección de actividades no autorizadas es AIDE .

AIDE ( Advanced Intrusion Detection Environment ) es una herramienta de detección de intrusos de código abierto, pequeña pero potente, que utiliza reglas predefinidas para verificar la integridad de archivos y directorios en sistemas operativos tipo Unix como Linux. Es un binario estático independiente para configuraciones de monitoreo de cliente / servidor simplificadas.

Ya comentamos en una ocasión, con Nagios y Cacti, que una buena monitorización de los sistemas era una pieza clave en la administración de sistemas de información, una herramienta que nos permite actuar de manera rápida en caso de fallo o indisponibilidad del servicio. Sin embargo, en ocasiones una monitorización del servidor puede no detectar un fallo, por ejemplo, cuando algo que falla escapa de nuestro control (el ISP); casos en los que los sistemas están funcionando pero el servicio no está disponible o que éste responde de una manera muy lenta y procesa un bajo número de peticiones comparado con la demanda que tiene en ese momento.