Cose da fare quando si acquisisce un server web esistente [chiuso]

Center for Internet Security (CIS) ha ampie guide su come proteggere Apache e MySQL. Include tutto, dai permessi sui file, al layout delle partizioni, alle best practice dei file di registro, ecc. Per l'hardening del sistema operativo, si troveranno anche consigli specifici per l'hardening per il sistema operativo specifico. Ciò non significa che la CIS è la fine del mondo, ma ciò significa che troverai un elenco completo di best practice sulla sicurezza che non è solo di alto livello, ma entra in tutti i dettagli dei comandi specifici da eseguire.

La cosa buona dei benchmark CIS è che una volta implementate le impostazioni di sicurezza, è possibile utilizzare molti strumenti di benchmark di configurazione per controllare le impostazioni di sicurezza rispetto ai benchmark di configurazione CIS. Nessus Professional ha un tale servizio che uso regolarmente per controllare i miei server.

• CIS Apache Benchmark CIS
• CIS MySQL Benchmark
• Rehat Enterprise Benchmark (se usi un SO base diverso da Redhat, ce ne sono anche altri.

Penso che le raccomandazioni dovrebbero essere le stesse di proteggere qualsiasi server web ...

Questo può essere un duplicato della domanda canonica, ma lo lascerò alle mod:

link

... Inoltre, cambia tutte le password.

.