Admin Libre - Administración de sistemas y redes

DNS sobre TLS con NSD
Por admin el 8 de Mayo de 2022

DNS sobre TLS, también llamado DNS over TLS (DoT), es una especificación definida en el RFC 7858 que indica como proveer de privacidad y evitar la manipulación para las consultas DNS usando cifrado mediante TLS. DNS sobre TLS es al DNS lo que HTTPS al HTTP.

Aquí explico lo necesario para hacerlo funcionar con un servidor NSD ya configurado que funciona en OpenBSD, aunque las instrucciones deben funcionar para otros sistemas operativos que usen este servidor DNS.

Firma DKIM múltiple RSA y Ed25519 en OpenSMTPD con dkimsign
Por admin el 4 de Mayo de 2022

El RFC 8463 describe el uso del algoritmo de firma Ed25519-SHA256 para DKIM (RFC 6376), lo que permite crear firmas más pequeñas a la vez que son más seguras; esto es especialmente interesante ya que ocupan menos espacio en la entrada DNS correspondiente.

Gracias a los filtros de OpenSMTPD y a dkimsign es posible incluir una firma DKIM múltiple con RSA-1024 (para máxima compatibilidad) y Ed25519 como periodo de transición hasta que la firma Ed25519 sea comúnmente aceptada.

Nuevo servidor y cambios en la red
Por admin el 26 de Abril de 2022

He hecho una serie de cambios en la red de forma que, gastando menos dinero, he conseguido una mejor funcionalidad. Siguiendo la filosofía UNIX, he dedicado un servidor para web, otro para correo y otro para backup de correo, sirviendo los tres DNS en tres proveedores y países distintos.

Configuración de MTA-STS con httpd
Por admin el 26 de Abril de 2022

MTA-STS es el acrónimo de MTA Strict Transport Security y sirve para comunicar a otros servidores de correo que prefieres que la comunicación sea exclusivamente cifrada con TLS. Queda definido en el RFC 8461.

Como inconveniente está el uso de HTTP para una función de SMTP.

Ahorro de memoria desactivando KARL y reordenación de librerías al inicio
Por admin el 25 de Abril de 2022

Cuando arranca OpenBSD se produce una reordenación de los objetos de las librerías (ASLR) y del kernel (KARL). Esto sirve para mejorar la seguridad del sistema, aunque tiene el inconveniente de consumir grandes cantidades de memoria. Si usas un servidor con 1GB o menos de RAM esto se traduce en uso de memoria swap.

No es una práctica recomendada, aunque puede ser conveniente cuando es necesario minimizar el consumo de memoria para ahorrar costes. Aún desactivando estas funcionalidades al inicio, en la instalación ambos espacios de direcciones están aleatorizados. La diferencia está en que no se reordenarán cada vez que inicie el sistema como ocurre con la configuración por defecto.

Aunque hoy día no es caro contratar un servidor con 2GB de RAM, en ciertos proveedores como Exoscale la diferencia de precio entre un servidor de 512 MB de RAM y uno de 2 GB es del 300%.


Destacado

Misión

Admin Libre promueve el uso de software libre y de calidad tanto en los servidores como en el hardware de red con el objetivo de hacer los sistemas más seguros y auditables.