On 20/05/16 15:40, Wilson Mendes wrote: > Prezado Ricardo, a fug têm uma enciclopédia de informação sobre o > assunto, assim como un excelente índice. Pesquise e a sua possível > dúvida ainda existir, será de grande colaboração para essa > enciclopédia viva. > > Abs > > Sent with AquaMail for Android > http://www.aqua-mail.com > > > On May 20, 2016 10:56:42 AM Ricardo Ferreira > <ricardo.ferre...@sotech.com.br> wrote: > >> Senhores, >> >> >> Tenho que implementar uma infra para suporte a Web Services e claro que >> quero fazer em FreeBSD. Tenho algumas idéias como Apache mais Tomcat por >> exemplo, dentre outras... mas gostaria de ouvir dos companheiros >> sugestões, experiências, soluções de segurança, críticas dentre outros >> detalhes a fim de alimentar o processo decisório....Um detalhe >> importante é que segurança se impõe sobre todos os outros aspectos. >> >> []s >> >> >> Ricardo Ferreira >> >> >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Cuidado com Top-posting, acaba estragando o histórico da lista.
Bom vamos lá. Primeiro, que bom que considerando o FreeBSD como sistema operacional base para a sua solução, contudo tem que ser realista. Não acompanho o projeto tomcat para saber como está ele com relação as outras plataformas ( Linux/Windows ), contudo se o foco é segurança creio que usar uma tecnologia Java já é um tiro no pé que irá levar pelo menos uma perna, o java vem sendo constantemente colocado em check quanto a segurança, é a unica consideração que tenho negativa quanto ao proposto, porém é desenvolvido e mantido pela fundação Apache que são muito competentes no quesito segurança, posso estar falando m***** devido a minha ignorância quanto a este software em especifico. Quanto ao FreeBSD mesmo, não há nenhuma critica negativa só positiva, porém só opte pelo mesmo caso possua expertice, o FreeBSD faz a parte dele que é disponibilizar um software seguro, estável e perfomatico com diversos recursos em cada um desses pilares, porém de nada adianta ter um bugati nas mãos e não passar dos 100Km/h em uma pista que permite chegar a 800Km/h. Ative os recursos do Framework MAC mantidos pelo TrustedBSD Project. Ative a auditoria do sistema e coloca um servidor de Logs aparte para manter um acompanhamento pro-ativo dos serviços Compile o kernel removendo coisas desnecessárias, sei que muitos administradores hoje já não compilam mais o kernel do FreeBSD em busca de perfomance ou o fazem somente quando o recursos só estará disponivel on-kerrnel, contudo sou da premissa de que quanto menor a quantidade de codigo na memoria menor a possibilidade de algum exploit funcionar. Ajuste as sysctls relacionadas a desempenho de rede e do próprio sistema. Amplie os mbuffers de requisição da rede, ajuda muito na performance do sistema, principalmente quando este estiver com alto load. Ative o securelevel 3 caso a aplicação permita ou se possivel coloca o tomcat em uma Jail e mantenha um cluster Ativo/Ativo entre as jails e dois servidores fisicos e terá uma redundância que precisará de muito esforço da lei de murphe para derrubar. Como o seu objetivo é segurança e caso possa expertice aceitável no que tange a segurança da informação demais softwares abaixo tem algumas dicas que valem a pena explorar. Instale e configure o IDS/IPS Suricata a parte da sua infraestrutura de serviços. Separe o banco de dados do servidor de aplicações e valide tudo o que acessar ele, revise o código da aplicação e tente forçar os desenvolvedores a terem práticas realmente seguras de codificação e comunicação entre a aplicação e o banco de dados. Ative o firewall em todos os seus servidores contudo com metodologias diferentes, no firewall de borda deixa passar com filtragem stateless apenas requisições para o servidor de aplicações contudo limitado a porta do socket de comunicação e no firewall do servidor de aplicações trabalhe com firewall statefull. Há muitas outras técnicas de harderning disponiveis para o FreeBSD e ambientes de Web Services, há muita literatura na Internet. Qualquer coisa estamos ai. Abraços e por favor seria muito bom depois disponibilizar um case da solução para que outros tenha um ponto de partida. -- ################################################## :UNI><BSD User: Paulo Henrique Cel: (21) 98253-9727 Fone: (21) 3708-9388 ################################################## ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd