Quali sono alcuni passi da fare per rendere sicuro un server Linux che non si trova in questo elenco di quelli ovvi?

3

Cose ovvie:

  1. Disattiva root login (piuttosto, non abilitarlo)
  2. Secure SSH (nessun% di accesso diroot, solo autenticazione della chiave, timeout dopo l'inattività, utenti di whitelist che possono inserire SSH, ecc.)
  3. IP Tables firewall che autorizza solo il traffico corretto su 80/443/22
  4. Aggiorna tutti i pacchetti
  5. Disattiva Control-Alt-Delete per la console

Il sistema operativo è Ubuntu 12.04.1 x86-64 (server) e l'utilizzo è come un server di applicazioni Web. Il software utilizzato è:

  1. Nginx (eseguito come www-data )
  2. Supervisore (eseguito come root senza server HTTP o server RPC)
  3. uWSGI (eseguito come www-data )
  4. Celery (eseguito come www-data )
  5. Redis (eseguito come www-data )
  6. Memcached (eseguito come www-data )

Chiedo perché non sono sicuro di quali cose siano installate con Ubuntu 12.04.1 che potrebbero avere potenziali vulnerabilità di sicurezza, quali cose potrei aver accidentalmente dimenticato la mia lista di controllo "ovvia" e quale dei pacchetti ho menzionato sopra che potrebbe presentare vulnerabilità di sicurezza (tutte installate come pacchetti rispetto alla compilazione manuale, btw).

    
posta orokusaki 07.12.2012 - 19:46
fonte

1 risposta

1
  • Esegui la tua applicazione web come utente diverso da chiunque altro. Questo è ciò che www-data è per !!!!!
  • Rimuovi l'accesso in scrittura alla tua web root! (E dovrebbe avere solo la tua applicazione web (www-data) lettura / esecuzione)
  • Utilizzare un Web Application Firewall (WAF). Naxsi per Nginx è un opzione tuttavia mod_security è un WAF migliore.
  • Rimuovi l'accesso alla porta 22 utilizzando Port Knocking o Bastion Host (punti bonus per l'utilizzo di entrambi!)
  • Forza HTTPS solo per evitare violazioni OWASP a9 . HTTP dovrebbe solo essere utilizzato per impostare HSTS e reindirizzamenti su HTTPS.
  • L'ultima volta che ho controllato Ubuntu non ha set di regole AppArmor per ngix, dove come lo fanno per l'installazione della LAMPADA. Sappi anche che nginx è molto giovane e di conseguenza vengono pubblicati più avvisi per ngix rispetto a [Apache]
  • setup apt update automatico per aggiornamenti relativi alla sicurezza.
  • Se hai i soldi, prendi un pentest
risposta data 07.12.2012 - 20:56
fonte

Leggi altre domande sui tag