Que es Jshielder?
JShielder es una herramienta Software libre que le permite al Administrador de Sistemas hacer un despliegue Seguro de LAMP (Linux-Apache-Mysql/MariaDB-PHP), LEMP (Linux-Nginx-MySQL/MariaDB-PHP), Reverse Proxy o Servidor para hostear una aplicación de manera automatizada con poca interacción del usuario.
Basado en el Proyecto de Eugenia Bahit, JackTheStripper, y en el que colaboré durante mucho tiempo.
Para mas información pueden visitar la página del proyecto en www.jsitech.com/jshielder
Cuando ejecutas la herramienta como root, esta se encarga de:
Configurar un hostname;
Reconfigurar la zona horaria del sistema;
Actualizar el sistema operativo por completo, asegurando contar con las últimas versiones disponibles de cada uno de los paquetes del sistema;
Crear un nuevo usuario con privilegios de administrador, para que pueda manejar su sistema de forma segura, sin depender de conexiones remotas mediante el usuario root;
Generar las llaves públicas RSA necesarias, para que el acceso SSH a su servidor, pueda efectuarse solo y únicamente desde su ordenador;
Configurar, optimizar y securizar el servicio SSH, haciéndolo inmune frente intentos de acceso vandálicos o no autorizados;
Configurar el Firewall, generando reglas de seguridad estrictas en iptables que liberen de riesgos de accesos no autorizados a su servidor;
Reforzar la seguridad contra ataques por fuerza bruta, mediante la instalación, configuración y optimización de fail2ban;
NUEVO! Evita los escaneos de puertos, bloqueando las IP intrusivas con iptables y route mediante portsentry.
Instalar, configurar y optimizar MySQL para un rendimiento óptimo y un funcionamiento seguro;
Instalar, configurar y optimizar MariaDB para un rendimiento óptimo y un funcionamiento seguro; **
Instalar, configurar y optimizar PHP 5, para que la ejecución de sus aplicaciones sea tan segura como eficaz en el rendimiento.
Reforzar la seguridad de Apache, mediante la instalación, configuración y optimización de módulos como ModSecurity, ModEvasive, ModQOS, ModSpamhauss.
Se install RootKit Hunter
Se restringe el acceso de Root, solo pueden hacer login localmente
Cerramos Cron y AT, solo puede ser ejecutado por root
Se install el Sistema de Detección de Instrusos Tiger
Aseguramos el home de root y el archivo grub.cfg
Instalar paquetes adicionales que pueden ser elementales tanto para la gestión del sistema como para el deploy de sus propias aplicaciones ;
Configurar Nano, Vim y su terminal, para que pueda trabajar cómodamente y con mayor facilidad a través de línea de comandos;
Se Deshabilitan Compiladores
Se aseguran los archivos de configuración de Apache
Agregar tareas de actualización y mantenimiento periódicas al Cron, para evitar que usted deba preocuparse por ellas;
NUEVO!!! Hardening del Kernel para proteger el servidor de Varios Ataques via configuración de sysctl.conf
Se instala la Herramienta Unhide **
Nuevo en la Versión 2.0
Se Agrega la extensión de PHP Suhosin que protege el servidor contra fallas de seguridad conocidas y no conocidas de la aplicación y el core de PHP
Se retoma el uso de funciones para ser mas fácil la customización del Script
Se agrega la funcionalidad de Hacer un Deployment de Apache para Reverse Proxy o hacer el despliegue de una aplicación en otro lenguaje, No se instala PHP, MySQL.
Se agrega la funcionalidad de Hacer un Deployment de LEMP (En Desarrollo).. Se encuentra en pruebas ya que completa el Deployment, pero andamos revisando algunas fallas con PHP-FPM
Se agrega la funcionalidad de hacer un Deployment de Nginx compilado con ModSecurity para Reverse Proxy o hacer el despliegue de una aplicación en otro lenguaje, No se instala PHP, MySQL.
Se ajusta para que corra perfectamente junto al Script de Despliegue seguro de WordPress, SecureWPDeployer. Se elimina la función de reboot para que continue con el despliegue de WordPress
NUEVO!!!! Se agrega Menú para ejecutar solo las funciones deseadas. Util cuando ya tenemos un servidor implementado
Cambios Recientes
Agregado un Deployer general con la opción de seleccionar la Distribución que se encuentra en el root del directorio de JShielder
En caso de no hacerlo durante la instalación de la Distro, JShielder asiste con la creación de un Sistema de archivos para montar el directorio /tmp por separado, con las opciones nosuid, noexec
Se instala el Sistema de detección de Intrusos PSAD
Se crean los Banners (MOTD) para alertar a los usuarios no Autorizados y para compliance.
Se habilita la Monitoreo de Procesos con acct
Se configura un UMASK por defecto mas restrictivo
Se habilita las actualizaciones de seguridad Desatendidas (Opcional)
Se desactiva el Soporte para drives USB, para mejor seguridad (Opcional)
Se corren Procesos adicionales de Securización
En que se está trabajando
Reglas Más restrictivas en Iptables y opciones de Customización
Llevar JShielder a las otras Distros enfocadas a Servidores (CentOS, Debian, RedHat, Fedora Server, Suse)