Quali sarebbero i passaggi prioritari per proteggere una piccola applicazione (cloud)?

Naviga le tue risposte
2

Senza dubbio ci sono molte buone informazioni su questo link su hardening un server linux e su il bambino si collega a questo. E a questo link agli strumenti pertinenti sembra che non ci sia ancora uno strumento di sicurezza popolare che gli scrittori di wiki non siano entusiasti di . La lettura e la comprensione di tutto ciò richiederebbe una notevole quantità di tempo a seconda del livello di conoscenza con cui si inizia e quindi più tempo per installare e valutare e imparare a utilizzare un sottoinsieme di circa 15 strumenti e implementare una maggiore sicurezza. Tuttavia, il volume e la natura del consiglio mi sembrano che i consulenti potrebbero avere in mente la sicurezza di siti noti con più accessi (e utenti), personale dedicato alla sicurezza IT, reputazione di presenza sul Web e reputazione aziendale proteggere.

Quali passi prioritari dovrei prendere in meno tempo di quanto ci vorrebbe per cercare sicurezza su stackexchange e ubuntu.com (diciamo, 30 minuti o meno) per migliorare la sicurezza del mio server certamente non noto? Dettagli sulla mia implementazione e necessità:

  • un'istanza (sul cloud del linodo) che esegue la versione desktop di ubuntu 10.10 (Maverick) e nessuna intenzione né bisogno di avere più di un'istanza
  • esigenze di disponibilità: è accettabile un'interruzione di più ore al mese. Se e quando c'è un attacco DOS, sarà scomodo capire come evitare che accada di nuovo ma probabilmente non più di un inconveniente
  • esigenza di privacy: sì, per favore
  • un amministratore, al momento effettua il login come root con SSH
  • zero utenti, nel senso tradizionale. L'amministratore sarebbe l'unico "utente" che accede per far evolvere il sistema e quando sarà attivo, l'amministratore eseguirà VNC per esaminare i risultati una o due volte al giorno
  • SSH, anche se non ho fatto nulla sul server per forzare il client a fare questo
  • VNC. Al client uso sempre SSH per VNC, anche se non ho fatto nulla sul server per forzare il client a fare questo
  • Il sistema è in gran parte attivo e funzionante, ma occorrerà occasionalmente apt-get install , remove o purge mentre evolvono il sistema che sto sviluppando
  • Filezilla per evolvere il sistema (esempio: invia una nuova versione dell'applicazione). Specifico sempre la porta 22 ma non ho fatto nulla sul server per richiedere questo
  • il server esegue esattamente un'applicazione in Java (e un piccolo script di bash) sviluppata da una persona fidata, anche se quell'applicazione collegherà le librerie popolari (esempio: Java Joda) o invocherà utilità popolari (esempio: gnome-terminal, linux beep utility 1 ). L'applicazione utilizza una libreria attendibile per parlare con Internet e il numero di porta è noto a me.
  • l'amministratore sta utilizzando una password complessa
[1] So che non c'è bisogno di installare l'utility linux beep su un server cloud, ma a volte eseguo questa applicazione sul mio computer desktop dove è bello avere suoni. Per me è più semplice avere solo una versione dell'applicazione piuttosto che una versione suonata e una versione silenziosa.     
posta H2ONaCl 22.04.2012 - 19:57
fonte

1 risposta

2

Penso che le tue implicite critiche alle risorse siano un po 'ingiuste.

Ma ok, quindi la premessa è che ottengo 30 minuti per proteggere il server Linux nel miglior modo possibile? Giusto. Ecco una lista di controllo proposta:

  • Attiva gli aggiornamenti automatici per tutto il software. Scegli una distribuzione che fornisca aggiornamenti di sicurezza per un tempo praticamente illimitato. (Ad esempio, non userò Fedora per questo scopo, perché dopo 2 rilasci - circa un anno - Fedora non fornirà più aggiornamenti automatici di sicurezza, che potrebbero rendere il mio server silenziosamente insicuro dopo un certo periodo di tempo.) Aggiorna tutti i pacchetti software.

  • Abilita un firewall software (iptables) e configuralo per bloccare l'accesso in ingresso a tutto tranne SSH, VNC e la porta per quel server che stai utilizzando.

  • Attiva i backup periodici automatici.

  • Conferma che se il server viene hackerato, non è un grosso problema, né per il mio datore di lavoro né per la mia reputazione professionale.

  • Configura SSH per consentire solo l'autenticazione della chiave pubblica (disabilita l'autenticazione della password).

  • Riavvia il server Linux.

  • Verifica di aver correttamente configurato la configurazione del firewall eseguendo la scansione di tutte le porte aperte sul server utilizzando nmap e assicurandoti che non venga visualizzato nulla oltre al 3 che intendevi consentire.

  • Verifica di poter accedere al tuo servizio (ad esempio, che nessuno dei tuoi blocchi di sicurezza ha infranto l'applicazione server che stai utilizzando).

P.S. Sottolineerò che la mia risposta su questi thread è già molto vicina ai tuoi criteri; e per favore vedi la mia risposta in ogni caso per una maggiore elaborazione su diversi suggerimenti sopra.

La checklist SANS menzionata qui è già abbastanza vicina ai tuoi criteri, in quanto sembra essere ordinata per priorità.

    
risposta data 23.04.2012 - 01:12
fonte

Leggi altre domande sui tag

Supporto della curva denominata OpenSSL ECC Quanto è sicura la lista nera MIME su un server proxy?