Я проводил «обширные» исследования по защите веб-сервера Linux. Помимо того, что считается «основами» (удаление неиспользуемых служб, усиление безопасности ssh, iptables и т. Д.), Целесообразно ли включать антируткиты (Tripwire) и антивирус (ClamAV)? Это просто перебор для веб-сервера? Я знаю, что это очень расплывчатый вопрос, но мне любопытно мнение других.
Моя будущая среда: - ubuntu 10.04 - fail2ban - nginx 0.8.x - php 5.3.x (suhosin, apc, memcached) - mongodb 1.6.x
Возможные приложения: - веб-сервисы - веб-приложения с пользовательской загрузкой (изображения, PDF-файлы и т. Д.) - типичные веб-сайты (формы и т. Д.)
Если у вас есть какие-либо другие советы, пожалуйста, не стесняйтесь добавлять!
Спасибо
Нет, ты не зашел достаточно далеко.
1) Вам нужен брандмауэр веб-приложения, такой как mod_security, и убедитесь, что он настроен на блокировку атак, а не только на их регистрацию.
2) Блокировка php с помощью phpsecinfo .
3) Заблокируйте учетную запись MySQL вашего веб-приложения, убедитесь, что у вашего приложения нет
FILE
привилегий, это, безусловно, самый опасный в MySQL.4) Брандмауэр отключен от всех UDP и всех TCP, которые вам не нужны. Подумайте об использовании стука портов для SSH. Отказ от бана не так хорош, как получение нулевых попыток.
источник
Вероятно, вы можете безопасно установить AIDE на веб-сервере - добавление и удаление клиентов не изменяет слишком много файлов конфигурации, и вы, вероятно, могли бы довольно легко отфильтровать обычную болтовню.
Но то, о чем многие руководства по безопасности веб-серверов не упоминают, - это то, что вы должны включить noexec в вашем разделе / tmp в / etc / fstab. Если вы предлагаете хостинг для широкой публики, немало людей установят небезопасные веб-приложения без вашего ведома (и сами не будут иметь знаний, чтобы поддерживать свои приложения в актуальном состоянии), и вы в основном выслеживаете эти ошибки навсегда. Если вы убедитесь, что единственное место, в котором злоумышленник может сохранить программное обеспечение, - это домашний каталог клиента и каталог / tmp, то злоумышленник рискует показать вам, где он взломал файл, если он не может использовать каталог / tmp. Им не нравится это делать.
Это позволило решить большинство проблем безопасности на нашем сервере веб-хостинга.
источник
«Добро пожаловать на борт! На борту нашего нового авиалайнера вы можете наслаждаться рестораном, кино, тренажерным залом, сауной и бассейном. Теперь пристегните ремни безопасности, наш капитан постарается доставить все это дерьмо в воздух».
mod_security - это боль как для вас, так и для сервера. Это требует ресурсов, и его правила нуждаются в серьезной поддержке, и это будет бесконечная задача. И нет, он не работает отдельно или с Nginx. Если вам кажется, что вам это действительно нужно, настройте отдельный прокси-сервер (Apache, mod_proxy, mod_security). Он также работает как DMZ, ваши реальные серверы могут быть полностью закрыты для внешнего мира, и если прокси-сервер будет взломан, все равно ничего не будет.
ClamAV тоже очень тяжелый, если он запускается как демон. Лучше периодически запускать clamscan в неактивные часы из Cron.
Tripwire - это излишне, ИМХО. Но что-то, способное выследить руткиты, было бы полезно, есть много скриптов (rkhunter, chkrootkit).
Я полагаю, что по крайней мере 90% руткитов и т. Д. Попадают на серверы с помощью загрузок с машин Windows. Нет действительно хорошего способа предотвратить это, кроме, возможно, принуждения разработчиков никогда не использовать Windows. Большинство троянов ищут учетные данные FTP, поэтому никогда не используют FTP.
источник
Считается ли использование защиты форм с помощью капчи в популярном движке CMS (Wordpress, Jomlaa, Drupal) практикой безопасности? Если да, то вы можете использовать это:
источник