Server di sviluppo protetto con staff remoto

1

Quali sono le migliori pratiche per proteggere un server di sviluppo in cui lo staff è remoto?

Su quel server, eseguirà apache2 webserver e mysql.

Server O / S è Debian 9.

La mia idea è questa:

  • Saranno consentite solo le connessioni SSH con chiavi SSH.

  • Ogni dipendente avrà le autorizzazioni solo nella sua home directory.

  • I dipendenti disporranno delle autorizzazioni per eseguire solo alcuni sudo consentiti comandi.

Mi manca qualcosa?

    
posta tomsk 17.10.2017 - 16:51
fonte

1 risposta

1

Passaggi importanti aggiuntivi:

  • Firewall tutto. Esporre solo la porta SSH, HTTP e HTTPS (+ eventuali altre porte specifiche dell'applicazione)
  • Assicurati che MySQL sia vincolante solo su localhost, esegui il set sicuro (fai attenzione con la lunghezza PW supporta solo 32 caratteri)
  • Installa e configura Fail2Ban per bloccare dinamicamente ogni richiesta sospetta
  • Rimuovi / disabilita tutti i moduli Apache non utilizzati
  • Assicurati che i tuoi controlli di accesso con privilegi minimi siano impostati correttamente, ad esempio chiavi individuali, un modo semplice per revocare l'accesso, la registrazione completa di tutti i comandi e la cronologia del terminale
  • Se possibile, implementa la whitelist IP per l'accesso SSH

Passaggi desiderati:

  • Utilizza una soluzione CI per il deploy effettivo del codice, questo aggiunge un livello di governance e controllo al codice sorgente che appare sul server

  • Blocca il lato del pubblico con whitelisting IP / autenticazione di base, non ha senso essere sottoposto a scansione e bombardato quando è in fase di sviluppo

  • Assicurati che i log di Apache e MySQL siano impostati correttamente con il livello di log e le autorizzazioni corretti (i log di Apache appartengono a root quindi fai attenzione se apporti modifiche qui)

  • Sposta ssh off port 22. Non c'è dubbio che qualcuno si lamenterà di questo, sì è la sicurezza attraverso l'oscurità ma accoppiata con Fail2Ban il vantaggio qui è meno traffico bot sulla porta 22.

Non hai menzionato nessuno dei servizi o delle lingue utilizzate, se stai usando PHP ecc. la loro è tutta una serie di altre misure da prendere.

    
risposta data 17.10.2017 - 17:50
fonte

Leggi altre domande sui tag