[FUG-BR] FreeBSD no Amazon Web Services.

Quarta Dezembro 7 11:39:51 BRST 2016

Grupo, bom dia!
Peço licença para uma pequena divulgação.
Customizei a imagem padrão do FreeBSD no AWS feita pelo Colin Percival.
Utilizei a versão 10.3 64 bits.
Estou aberto a críticas e sugestões.
Quem se interessar, basta entrar em contato, estou a disposição.
Obrigado.

Descrição da minha AMI no AWS:

Foram removidas várias opções desnecessárias do kernel, ele foi 
otimizado para o XEN.
O kernel padrão de 500MB foi reduzido para 70MB.
Consulte o /home/ec2-user/CUSTOM e execute o comando uname -a para 
maiores detalhes.

Foi adicionado um segudo disco a VM para o particionamento e otimização 
do acesso.
Foram utilizadas as opções sync e journaling nos discos para evitar 
inconsistência e perda de dados.
O /usr foi configurado como apenas leitura, para evitar modificações nos 
binários do sistema operacional.
Foi feita a separação do /usr/local de /usr, para permitir a instalação 
de aplicativos numa partição exclusiva para eles.
Foi feita a separação do /var/log de /var, para evitar paradas do 
sistema por causa do esgotamento da partição /var com logs.
Foi feita a separação do /home de /, para evitar paradas do sistema por 
causa do esgotamento da raíz do sistema com dados de usuários ou do sistema.
Foi feita a separação de /tmp numa partição exclusiva para arquivos 
temporários.
Foi utilizada a flag noexec em /var, /var/log e /tmp para aumentar a 
segurança do sistema.
Foi criada a partição /srv, a qual permitirá armazenar os arquivos 
específicos de servidor e uma fácil expansão da partição caso 
necessário, foi atribuída a flag nosuid nesta partição.
Para mais detalhes, consulte o /etc/fstab e execute o comando mount.

Foi desabilitada a opção padrão de login via ssh com certificado e sem 
senha, sua porta padrão foi modificada
de 22 para 65535, foram feitas outras modificações para evitar ataques e 
permitir login com usuário e senha.
Apenas membros do grupo ssh tem o direito de fazer login via ssh, o 
usuário ec2-user pertence ao grupo ssh.
Para mais informações, consulte o /etc/ssh/sshd_config e execute o 
comando netstat -an como root.

Foram desabilitados alguns daemons na inicialização do sistema, isso fez 
com que somente a porta ssh 65535 fique
aberta, esperando por conexões.
A data e hora do servidor são definidas via ntp, utilizando-se os 
servidores oficiais do Brasil.
Consulte o /etc/rc.conf para maiores detalhes.

O sistema foi configurado de forma que apenas o usuário root tem 
permissão de visualizar todos os processos e conexões.
Consulte o /etc/sysctl.conf para maiores informações e execute o comando 
ps aux ou netstat -an como um usuário comum,
por exemplo, com o usuáio ec2-user.

A auditoria do sistema foi refinada.
Foram utilizadas flags em arquivos críticos de log, para evitar a 
aduteração ou perda deles.
Para maiores detalhes consulte o /etc/syslog.conf e execute o comando ls 
-lo /var/log.

As permissões padrão do sistema foram melhoradas de forma que apenas o 
usuário root tem acesso aos arquivos modificados aqui.
O mesmo se aplica ao arquivo /etc/crontab, apenas o usuário root tem 
acesso a ele.
O umask padrão foi modificado de 022 para 077 para os usuários e para o 
root, de forma que apenas eles tem acesso aos dados criados por eles. 
Para maiores detalhes, consulte o /etc/login.conf e o comando umask.

Foi criado um um diretório scripts dentro de /root para armazenar 
scripts administrativos.

Foi scriado um script update_hostname.sh, que remapeia o ip atribuido 
pelo DHCP ao nome do host.
Foi atribuida a flag schg a este script.

Foi criado um script update_hostname dentro de /etc/rc.d, que é chamado 
pelo script update_hostname.sh dentro de /root/scripts.

Foi deletado o diretorio /boot/kernel.old.

Foi atribuida a flag schg em todo o /boot.

Foi removido o /usr/src.

Foi removido o /usr/obj.

As customizações feitas aqui modificaram o sistema operacional de forma 
que ele ficou mais seguro, mais estável, mais rápido e com um conjunto 
mínimo de opções necessárias ao funcionamento dele.
Tudo isso Out Of The Box, melhorando a experiência dos usuários de 
FreeBSD no Amazon Web Services.
Aproveitem!

-- 
Adiel de Lima Ribeiro
Consultor de TI
(31) 9-8961-5984
MCSA (Microsoft Certified Systems Administrator)
Pós Graduação em Administração de Redes Linux
facebook.com/bsdworld