具体的には、Apacheサーバーを安全に実行し、商用利用のリスクを最小限に抑えるように構成する方法について、チュートリアルまたは本を介していくつかの助けを借りたいと思います。
-重要なことに、私はこれを行う方法を学んだので、それをインストールしたり、最小限に設定したりする方法を尋ねていません。 EコマースのWebサイトが安全に保つために、どこを見るか、またはどのように構成するかについてヘルプを得て、この知識をさらに深めたいと思います。
私はこれが漠然としているかもしれないことを理解しているので、詳細なチュートリアルは期待していませんが、どこを見ればよいかについてのヘルプやヒントを得ることができれば。私はどこでも試しましたが、それをインストールするだけで終わり、テストのために最小限のセキュリティで保護します。
これは本当にかなり悪臭を放つ大きな質問です。選択したタグに基づいて、LAMPスタックに関するガイダンスを求めているようにはに見えるので、ここで焦点を合わせます。関連する hardening の質問がすでに投稿されているため、追加の洞察については、これらの質問を確認してください。
MySQLサーバーの強化
Linuxサーバーの強化
php.iniファイルを強化するためのベストプラクティスは何ですか?
Apacheサーバーの強化
採用する具体的な手法は、環境とサーバーの使用方法に大きく依存します。警告、これはテスト環境で構築して正しく完了するために多くの作業を必要とする可能性があります。その後、実稼働環境、さらに重要なのはビジネスプロセスに統合するための多くの作業が続きます。
ただし、最初に、組織に強化ポリシーがあるかどうかを確認します。強化ポリシーが最も直接的に関連する可能性があるためです。そうでない場合は、役割によっては、これらを構築する絶好の機会かもしれません。また、各コンポーネントにボトムアップで個別に取り組むことをお勧めします。
L
あなたを助けるために利用できる良いガイドがたくさんあります。このリストは、ディストリビューションによっては役立つ場合とそうでない場合があります。
A
Apacheは保護するのが楽しい場合があります。 ApacheやPHPよりOSを強化して使いやすさを維持する方が簡単だと思います。
M
P
これは、独自の規律であるセキュアプログラミングプラクティスの全体的なアイデアに真っ向からぶつかります。 SANSとOWASPには、この件に関する馬鹿げた量の情報があるので、ここではそれを再現しようとはしません。ランタイム構成に焦点を当て、開発者に残りの作業を任せます。 LAMPの「P」はPerlを指す場合もありますが、通常はPHPを指します。私は後者を想定しています。
Suhosin for PHP と mod_sec をご覧になることをお勧めします。どちらもとても良いです。