Configuraciones recomendadas para Astaro

Hola.

A continuación os pongo alguna configuraciones recomendadas, basándome en mi experiencia y escenarios donde tengo servidores Astaro. Estas configuraciones las hago en todos los servidores.

NOTA: Puede que estas configuraciones no sean adecuadas para todos los casos. Antes de seguirlas, asegúrate de que son válidas en tu caso y de que entiendes el uso de cada configuración.

La forma de configurar cada opción que se indica más abajo está obtenida de la versión 8.307. En todas las versiones 8 son muy similares, aunque ha habido cambios en algunos parches.
Si el servidor se ha migrado de versiones anteriores, como la versión 7, entonces puede que alguna opción ya esté activada.

  • Cambiar la clave por defecto de admin:
    • “Definitions & Users” –> “Users & Groups” –> “Users” –> “edit” del usuario “admin” –> poner la nueva password en “Password” y “Repeat”.
    • Sin cerrar la sessión actual desde la que hemos puesto la nueva clave, abrir otro navegador y comprobar que podemos entrar con la nueva clave. Es IMPORTANTE no cerrar la sesión con la que hemos cambiado la clave, porque si nos hemos equivocado al poner la clave, siempre podemos poner otra de nuevo.
  • Activar las notificaciones de alertas:
    • “Management” –> “Notifications” –> “Global” –> en “Notification recipients” añadir el email al que llegarán las notificaciones (ejemplo: soporte@dominiodemiempresa.com”) –> y marcar “Limit notifications”
    • “Management” –> “Notifications” –> “Notifications” –> marcar TODOS las opciones de “Email” excepto “Successful WebAdmin login”, “Successful SSH login” y “Successful console login”. Esas 3 opciones las desmarco para no recibir correos en esas situaciones dado que son situaciones correctas. Aunque puede haber gente que quiera saberlo por si alguien entra desde ips no permitidas, por poner un ejemplo
  • Activar el acceso ssh:
    • Activar el acceso ssh. Puede ser útil en varias situaciones como las siguientes:
      • Resolver problemas que no pueden ser resueltos vía webadmin.
      • Acceder al servidor si el webadmin no responde, o hemos hecho una configuración por error que no nos permite acceder
      • Comprobar de forma más cómoda mediante comandos (shell de Linux) la configuración de ips, las conexiones actuales, los logs, comprobar resolución de nombres, ejecutar el comando ping, o el comando tracert.
    • “Management” –> “System Settings” –> “Shell access” –> “Enable”
    • “Management” –> “System Settings” –> “Shell access” –> “Allowed Networks” –> añadir las redes o ips desde las que va a estar permitido iniciar sesión. Normalmente se suele poner la red lan (red interna), pero se pueden añadir más. También se puede poner ANY, pero no es recomendable para evitar accesos desde ips no deseadas. Si el equipo está conectado a internet será normal recibir notificaciones por email debido a intento de inicio de sesión de equipos desde internet.
    • “Management” –> “System Settings” –> “Shell access” –> “Shell user passwords” –> introducir las password para “loginuser” y para “root” –> comprobar mediante ssh (ejemplo con un Putty http://www.chiark.greenend.org.uk/~sgtatham/putty/ ) que se accede por ssh con loginuser y con root.
    • IMPORTANTE: para acceder con root, primero hay que entrar con loginuser, y después ejecutar “su -” y entonces ya nos conectamos con root.
  • Controlar el acceso al WebAdmin
    • Permitir el acceso al WebAdmin desde la red internet y desde aquellas ips públicas que sea nuestras.
    • “Management” –> “WebAdmin Settings” –> “General” –> “WebAdmin access configuration” –> “Allowed networks” –> añadir las redes o ips desde las que va a estar permitido iniciar sesión. Normalmente se suele poner la red lan (red interna), pero se pueden añadir más, tales como ips públicas que sean nuestras. También se puede poner ANY, pero no es recomendable para evitar accesos desde ips no deseadas.
  • Activar actualizaciones: la descarga automática y periódica de las actualizaciones de nuevas versiones y de patrones
    • “Management” –> “Up2Date” –> “Configuration” –> “Firmware download interval” –> “Every 15 minutes”. Cuando hay una actualización envía un mail.
    • “Management” –> “Up2Date” –> “Configuration” –> “Pattern download/installation interval” –> “Every 15 minutes”
  • Activar el envío automático de backups
    • Los backups quedan en el propio servidor. Y además, permite enviar los backups automáticamente por email.
    • Esto es muy útil, porque permite tener los backups siempre a mano: en el propio servidor o por email.
    • Además, los backups de Astaro ocupan muy poco espacio, lo que permite guardar muchos en muy poco espacio (aunque sea en el buzón de correo electrónico).
    • “Management” –> “Backup/Restore” –> “Automatic backups” –> “Enable”
    • “Management” –> “Backup/Restore” –> “Automatic backups” –> “Options Interval” a “Daily” y “Keep a maximum of” a 10
    • “Management” –> “Backup/Restore” –> “Automatic backups” –> “Send backups by email” –> “Recipients” añadir el email al que llegarán las notificaciones (ejemplo: soporte@dominiodemiempresa.com”)
  • Configurar la resolución de nombres
  • Activar el envío periódico de los informes ejecutivos
    • Es muy útil para revisar información antigua, y también en caso de problemas para ver desde cuando ha podido empezar a suceder (ejemplo: consumo de cpu excesivo, uso de mucho ancho de banda, servicios o servidores más usados, …)
    • “Logging & Reporting” –> “Executive Report” –> “Configuration” –> marcar “Daily executive report”, “Weekly executive report” y “Monthly executive report”, y en “Email addresses” (para los 3 anteriores) añadir el email al que llegarán las notificaciones (ejemplo: soporte@dominiodemiempresa.com”)
  • Sincronización de la hora por NTP: mantener actualizada la hora del servidor y ser servidor NTP para los equipos de la re lan (red interna)
    • “Network services” –> “NTP” –> “Enable”
    • “Network services” –> “NTP” –> “NTP options” –> “Allowed networks” normalmente se suele poner la red lan (red interna)
    • “Management” –> “System Settings” –> “Time and Date” –> “Set Timezone” seleccionar la zona horaria (por ejemplo para Madrid (Spain) es “Europe/Madrid”
    • “Management” –> “System Settings” –> “Time and Date” –> “Synchronize time with internet server” poner el servidor de hora. Yo recomiendo usar hora.roa.es que es la hora oficial de España. Más información en:
  • ICMP: permitir el ping y el tracert. Hacia, desde y a través del firewall
    • “Network security” –> “Firewall” –> “ICMP” –> marcar TODAS las opciones de “Global ICMP settings”, “Ping settings” y “Traceroute settings”
Anuncios

Un comentario en “Configuraciones recomendadas para Astaro

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s