เกินความปลอดภัยของเว็บเซิร์ฟเวอร์?

ฉันทำการค้นคว้าอย่างกว้างขวางเกี่ยวกับการรักษาความปลอดภัยของเว็บเซิร์ฟเวอร์ linux ด้านบนของสิ่งที่ถือว่าเป็น "พื้นฐาน" (ลบบริการที่ไม่ได้ใช้, การชุบแข็ง ssh, iptables, ฯลฯ ) ควรที่จะรวม anti-rootkits (Tripwire) และ anti-virus (ClamAV) หรือไม่? สิ่งเหล่านี้เกินความจริงสำหรับเว็บเซิร์ฟเวอร์หรือไม่ ฉันรู้ว่านี่เป็นคำถามที่คลุมเครือ แต่ฉันสงสัยในความคิดเห็นของผู้อื่น

สภาพแวดล้อมในอนาคตของฉัน: - Ubuntu 10.04 - fail2ban - nginx 0.8.x - php 5.3.x (suhosin, apc, memcached) - mongodb 1.6.x

แอปพลิเคชันที่เป็นไปได้: - บริการบนเว็บ - เว็บแอปที่มีผู้ใช้อัปโหลด (รูปภาพ, PDF, ฯลฯ ) - เว็บไซต์ทั่วไป (แบบฟอร์ม ฯลฯ )

หากคุณมีเคล็ดลับอื่น ๆ โปรดเพิ่ม!

ขอบคุณ

สำหรับเซิร์ฟเวอร์สาธารณะฉันจะบอกว่าการติดตั้งสิ่งที่คล้ายกับ tripwire นั้นไม่เกินความจริง

ClamAV เป็นเรื่องที่แตกต่าง ฉันจะพิจารณาการตั้งค่าว่าหากผู้เข้าชมของคุณจะแชร์ไฟล์ด้วยการอัพโหลดและดาวน์โหลดจากเว็บไซต์ของคุณ PDF สามารถมีช่องโหว่

บนเซิร์ฟเวอร์ที่เผชิญกับสาธารณะฉันมี SSH ไม่อนุญาตให้มีการตรวจสอบรหัสผ่านเฉพาะการตรวจสอบคีย์สาธารณะ หาก SSH เป็นไปได้เฉพาะจาก LAN ภายในคุณอาจผ่อนคลายสิ่งนี้ได้

เป็นไปได้ที่ฉันจะวางเซิร์ฟเวอร์บน DMZ เพื่อที่จะไม่สามารถเชื่อมต่อกับคอมพิวเตอร์เครื่องอื่น ๆ ใน LAN ภายในของคุณได้

ไม่คุณไม่ได้ไปไกลพอ

1) คุณต้องการไฟร์วอลล์เว็บแอปพลิเคชันเช่นmod_securityและตรวจสอบให้แน่ใจว่าได้กำหนดค่าให้บล็อกการโจมตีไม่ใช่แค่บันทึกพวกเขา

2) ล็อค PHP กับphpsecinfo

3) ล็อคบัญชี MySQL ของเว็บแอปพลิเคชันของคุณตรวจสอบให้แน่ใจว่าแอปพลิเคชันของคุณไม่มีFILEสิทธิ์ใช้งานเป็นแอพที่อันตรายที่สุดใน MySQL

4) ไฟร์วอลล์ปิด UDP ทั้งหมดและ TCP ทั้งหมดที่คุณไม่ต้องการ พิจารณาการใช้พอร์ตเคาะสำหรับ ssh การล้มเหลวในการแบนไม่ดีเท่ากับการพยายามเป็นศูนย์

คุณสามารถติดตั้งAIDEได้อย่างปลอดภัยบนเว็บเซิร์ฟเวอร์ - การเพิ่มและลบลูกค้าจะไม่เปลี่ยนแปลงไฟล์การกำหนดค่ามากเกินไปและคุณอาจกรองการพูดคุยปกติได้อย่างง่ายดาย

แต่สิ่งที่คู่มือเซิร์ฟเวอร์รักษาความปลอดภัยจำนวนมากไม่ได้กล่าวถึงคือคุณควรเปิด noexec บน / tmp พาร์ติชันของคุณใน / etc / fstab หากคุณเสนอการโฮสต์ต่อสาธารณะหลาย ๆ คนที่ดีจะติดตั้งเว็บแอปพลิเคชันที่ไม่ปลอดภัยโดยที่คุณไม่รู้ (และไม่มีความรู้ในการอัปเดตแอปพลิเคชันของตน) และคุณก็ไล่ล่าบั๊กเหล่านี้ตลอดไป หากคุณแน่ใจว่าที่เดียวที่ผู้โจมตีสามารถบันทึกซอฟต์แวร์ได้คือโฮมไดเร็กตอรี่ของลูกค้าและไดเรกทอรี / tmp ดังนั้นผู้โจมตีจะเสี่ยงต่อการแสดงให้คุณเห็นว่าพวกเขาอยู่ที่ไหนหากพวกเขาไม่สามารถใช้ไดเรกทอรี / tmp ได้ พวกเขาไม่ชอบทำเช่นนั้น

การทำเช่นนี้ช่วยแก้ไขปัญหาด้านความปลอดภัยส่วนใหญ่บนเซิร์ฟเวอร์เว็บโฮสติ้งของเรา

"ยินดีต้อนรับบนเรือ! บนเครื่องบินของสายการบินใหม่ของเราคุณสามารถเพลิดเพลินไปกับร้านอาหารโรงยิมยิมซาวน่าและสระว่ายน้ำตอนนี้คาดเข็มขัดนิรภัยกัปตันของเรากำลังพยายามที่จะรับอากาศทั้งหมดนี้"

1. mod_security เป็นความเจ็บปวดสำหรับคุณและเซิร์ฟเวอร์ ทรัพยากรมันหิวและกฎของมันต้องการการบำรุงรักษาอย่างจริงจังและมันจะเป็นงานที่ไม่รู้จบ และไม่มันใช้งานไม่ได้แบบสแตนด์อโลนหรือใช้กับ Nginx หากคุณรู้สึกว่าคุณต้องการจริงๆให้ตั้งค่าพร็อกซีเซิร์ฟเวอร์แยกต่างหาก (Apache, mod_proxy, mod_security) นอกจากนี้ยังทำงานเป็น DMZ เซิร์ฟเวอร์จริงของคุณสามารถปิดไปสู่โลกภายนอกได้อย่างสมบูรณ์และหากมีการละเมิดพร็อกซีก็จะไม่มีอะไรเกิดขึ้น

2. ClamAV นั้นหนักมากเช่นกันหากทำงานเป็น daemon จะดีกว่าถ้าหากเรียกใช้ clamscan เป็นระยะในช่วงเวลาที่ไม่ทำงานจาก Cron

3. Tripwire มากเกินไป IMHO แต่สิ่งที่สามารถตามรูทคิทจะเป็นประโยชน์มีสคริปต์มากมาย (rkhunter, chkrootkit)

4. ฉันเชื่อว่าอย่างน้อย 90% ของรูทคิทและอื่น ๆ ไปยังเซิร์ฟเวอร์ผ่านการอัปโหลดจากเครื่องที่ใช้ Windows ไม่มีวิธีที่ดีในการป้องกันสิ่งนี้ยกเว้นอาจบังคับให้ผู้ใช้ไม่เคยใช้ Windows โทรจันส่วนใหญ่ค้นหาข้อมูลประจำตัว FTP ดังนั้นอย่าใช้ FTP

การใช้การป้องกันฟอร์มแคปต์ชาในเอ็นจิน CMS ที่เป็นที่นิยม (Wordpress, Jomlaa, Drupal) ถือเป็นแนวทางปฏิบัติด้านความปลอดภัยหรือไม่? ถ้าใช่คุณสามารถใช้สิ่งเหล่านี้:

• Mollom
• Aksimet
• Defensio