Libri / guide per la protezione di un server [chiuso]

13

Chiuso . Questa domanda è basata sull'opinione . Al momento non accetta risposte.

Vuoi migliorare questa domanda? Aggiorna la domanda in modo che possa essere risolta con fatti e citazioni modificando questo post .

Chiuso 5 anni fa .

Ho un'idea del sito Web che voglio costruire e lanciare e sto pensando di ottenere un piccolo VPS per ospitarla (mi piace Linode per il loro prezzo e sembrano essere ampiamente raccomandati). Sono piuttosto al verde quindi non posso permettermi un server gestito.

Ho scaricato Ubuntu Lucid Server e l'ho eseguito in un VirtualBox, per aiutarmi a imparare e ad agire come una stretta approssimazione all'eventuale server di produzione. Sono impegnato nell'apprendimento, ma temo piuttosto che mi mancherà qualcosa di stupido e mi comprometterò. Come tale, mi piacerebbe sapere di eventuali buone guide / libri che spiegano i punti principali della protezione di un server LAMP.

Ho lavorato attraverso le cose di base nei rispettivi tutorial di Linode e Slicehost, ma voglio essere il più preparato possibile. Il sito non è ancora stato scritto e probabilmente mi distribuirò prima su un host condiviso come versione di prova, quindi ho il tempo di imparare almeno le basi.

So di mantenere tutto aggiornato, configurare iptables per consentire solo i buchi di cui ho bisogno (che appare solo alle porte TCP 22, per ssh / scp / sftp - lo cambierò dalla porta predefinita per la sicurezza (molto minore) tramite il bonus di oscurità - e 80 per http) - anche se sono confuso da alcuni tutorial che dicono di bloccare ICMP poiché non so perché non vorrei rispondere al ping - e per installare solo software ho bisogno / rimuovo software che non ho non serve.

security

— AgentConundrum
fonte

1

Personalmente penso che questa domanda appartenga a Server Fault. l'AMP in LAMP dovrebbe essere offtopico qui, IMO.

— xenoterracide,

@xenoterracide: abbastanza giusto, anche se non stavo davvero cercando aiuto con i bit AMP. Noterai che il titolo della domanda non menziona specificamente LAMP: ho chiesto di proteggere un server in generale, che mi è sembrato piuttosto in tema. Ho menzionato l'intero stack nella domanda, ma l'ho aggiunto più come contesto che altro. Il mio vero problema è che sono un neofita di Linux e ho pensato che Linux SE avrebbe avuto le giuste competenze per aiutare. A proposito, l'ho chiesto su SF in precedenza, ma ho pensato che avrebbe attirato più attenzione qui, e ho pensato che le informazioni di sicurezza sarebbero buone da avere qui.

— AgentConundrum,

bene ... il mio problema è come hai detto che è una domanda sulla sicurezza del server in generale. Ma non è davvero il mio posto a decidere cosa è Ontopic qui.

— xenoterracide,

IMHO Usa Debian invece di Ubuntu, esegui Nginx invece di Apache. Il resto suona bene. Non toccare un host condiviso con un sondaggio chiatta.

— Alex Chamberlain,

8

Leggi il Manuale sulla sicurezza di Gentoo . La maggior parte dovrebbe applicarsi a qualsiasi distribuzione Linux.

— xenoterracide
fonte

6

Dato che stai già utilizzando Ubuntu, ti consiglio la loro Guida al server , che offre una panoramica di base di un insieme comune di servizi predefiniti.

Dai un'occhiata anche a Linux Server Security di O'Reilly. In realtà, basta cercare su Amazon alcune offerte.

L' elenco di controllo per l'indurimento del server di Google sembra restituire alcuni modi buoni e pratici per capire rapidamente se qualcosa è palesemente sbagliato nella tua configurazione.

Infine, vai alla sezione sulla sicurezza di serverfault e chiedi.

Modifica: inoltre, ICMP dovrebbe essere bloccato in base al messaggio. Vedi Filtro pacchetti ICMP per i dettagli.

— Pedro Silva
fonte

Ho visto il libro di O'Reilly prima (tramite la stessa ricerca che hai menzionato, in realtà), ma ero un po 'scoraggiato dalla data di pubblicazione. Un libro di cinque anni è davvero ancora rilevante oggi? Controllerò anche il resto dei tuoi link (beh, tranne per il fatto che ho già fatto questa domanda a SF già qualche tempo fa, quindi non ha senso duplicare quello sforzo). Grazie mille.

— AgentConundrum,

5

Lettura suggerita da fonti statunitensi (per lo più) autorevoli e rispettabili:

Dovresti anche leggere le avvertenze in fineprint nei manuali del tuo sistema operativo.

— Cacciatore di cervi
fonte

1

Solo una risposta parziale, ma ho scritto un tutorial su IPtables che potrebbe esserti utile. http://www.ellipsix.net/geninfo/firewall/index.html

Oltre a IPtables, dovrai configurare SSH e Apache, ma quelli hanno configurazioni predefinite che sono già un po 'sicure, quindi ci sono solo un paio di cose che probabilmente dovrai cambiare. Naturalmente, quando aggiungi più funzionalità al tuo sito Web, dovrai mantenere la configurazione aggiornata di conseguenza. Qualcun altro probabilmente può raccomandare buoni riferimenti per questo.

In effetti, creerò questa wiki della comunità in modo che se qualcun altro ha voglia di aggiungere collegamenti, può farlo.

— David Z
fonte

Grazie, controllerò il tuo sito. Non mi rendevo conto che Apache, o in particolare SSH, dato ciò che la S rappresenta, non erano sicuri. Spero che qualcun altro possa venire con loro una guida, se non ne hai. Grazie ancora!

— AgentConundrum,

Bene, "Sicuro" in SSH significa solo che invia i tuoi dati in forma crittografata, in modo che le persone non possano curiosare su una connessione esistente. Ma creare una configurazione SSH sicura significa soprattutto assicurarsi che nessuno possa connettersi, a meno che non siano realmente autorizzati a farlo. La crittografia non protegge da questo.

— David Z,