私はLinuxWebサーバーのセキュリティ保護について「広範な」調査を行ってきました。 「基本」と見なされるもの(未使用のサービスの削除、ssh、iptablesの強化など)に加えて、アンチルートキット(Tripwire)とアンチウイルス(ClamAV)を含めるのが賢明ですか?これらはWebサーバーにとってはやり過ぎですか?これは非常に漠然とした質問だと思いますが、他の人の意見に興味があります。
私の将来の環境:-ubuntu 10.04 --fail2ban --nginx 0.8.x --php 5.3.x(suhosin、apc、memcached)-mongodb 1.6.x
可能なアプリケーション:-Webサービス-ユーザーがアップロードしたWebアプリ(写真、PDFなど)-一般的なWebサイト(フォームなど)
他にヒントがあれば、遠慮なく追加してください!
ありがとう
公開サーバーの場合、tripwireのようなものをインストールするのはやり過ぎではないと思います。
ClamAVは別の問題です。あなたの訪問者があなたのウェブサイトにアップロードし、そこからダウンロードすることによって共有ファイルになるように設定することを検討します。 PDFにはエクスプロイトが含まれている可能性があります。
公開サーバーでは、SSHでパスワード認証を許可せず、公開鍵認証のみを許可しています。 SSHが内部LANからのみ可能である場合は、これを緩和することができます。
可能であれば、サーバーをDMZに配置して、内部LAN上の他のコンピューターへの接続を開始できないようにします。
いいえ、あなたは十分に行きませんでした。
1) mod_security のようなWebアプリケーションファイアウォールが必要、攻撃をログに記録するだけでなく、ブロックするように構成されていることを確認します。
2) phpsecinfo でphpをロックダウンします。
3)WebアプリケーションのMySQLアカウントをロックダウンし、アプリケーションにFILE
特権がないことを確認します。これはMySQLで最も危険な特権です。
4)すべてのUDPをファイアウォールでオフにし、すべてのTCP不要です。sshに ポートノッキング を使用することを検討してください。禁止に失敗することは、それほど良くありません。 zero回の試行を取得します。
おそらく安全にインストールできます [〜#〜] aid [〜#〜] Webサーバーに-顧客を追加および削除しても、あまり多くの構成ファイルは変更されず、通常のチャタリングを除外できます。かなり簡単です。
しかし、多くのWebサーバーセキュリティガイドが言及していないことは、/ etc/fstabの/ tmpパーティションでnoexecをオンにする必要があるということです。ホスティングを一般に提供している場合、多くの人があなたの知らないうちに安全でないWebアプリケーションをインストールし(そしてアプリケーションを最新の状態に保つための知識を持っていない)、基本的にこれらのバグを永遠に追いかけています。攻撃者がソフトウェアを保存できる場所が顧客のホームディレクトリと/ tmpディレクトリだけであることを確認した場合、攻撃者は/ tmpディレクトリを使用できない場合、侵入先を示すリスクを冒します。彼らはそれをするのが好きではありません。
これを行うことで、ウェブホスティングサーバーのセキュリティ問題の大部分が解決されました。
「ようこそ!新しい旅客機に乗って、レストラン、映画館、ジム、サウナ、プールを楽しむことができます。シートベルトを締めて、船長はこのたわごとをすべて空中に浮かび上がらせようとしています。」
mod_securityは、あなたとサーバーの両方にとって苦痛です。それはリソースを必要とし、そのルールは真剣に維持する必要があり、それは終わりのない仕事になるでしょう。いいえ、スタンドアロンまたはNginxでは機能しません。本当に必要だと思われる場合は、別のプロキシサーバー(Apache、mod_proxy、mod_security)をセットアップしてください。また、DMZとしても機能し、実サーバーを完全に外界に閉鎖することができます。プロキシが侵害された場合でも、何も起こりません。
ClamAVも、デーモンとして実行すると非常に重いものになります。 Cronからの非アクティブな時間帯に定期的にclamscanを実行することをお勧めします。
Tripwireはやり過ぎです、私見。しかし、ルートキットを探し出すことができるものがあれば便利です。スクリプトはたくさんあります(rkhunter、chkrootkit)。
ルートキットなどの少なくとも90%は、開発者のWindowsマシンからのアップロードを介してサーバーにアクセスすると思います。開発者にWindowsを使用しないように強制する以外に、これを防ぐための本当に良い方法はありません。ほとんどのトロイの木馬はFTP資格情報を検索するため、FTPを使用しないでください。