Webサーバー/ Webサイトを保護するために実行する必要がある重要な基本/基本についての包括的なセキュリティガイドを知っている人はいますか? Webリンクで十分です。
開始するには、おそらく次の2つに焦点を当てる必要があります。
それは本当に2つの異なる専門分野であり、私は両方を説明する単一のドキュメントを掘り上げることができるとは思いません...厳格なセキュリティオタクはまた、これがあなたが適切な物理的セキュリティ、セキュリティポリシー、および他の分野での保護。
Webサーバーの保護
裏をかく、あなたは最高の情報はウェブサーバー固有のものになるだろう-それぞれがそれ自身の欠点を持っています。目に見えない、私はこれをお勧めします:
http://iase.disa.mil/stigs/app_security/web_server/general.html
はい、それは米国国防総省に固有ですが、一般的にそれほど悪くないガイダンスがいくつかあります。
私もNISTのものがとても好きです:
http://csrc.nist.gov/publications/nistpubs/800-44-ver2/SP800-44v2.pdf
ウェブサイトの保護:
安全なWeb開発に私のお気に入りのサイトはOWASPです。
https://www.owasp.org/index.php/Main_Page
この領域の情報は密集しており、どのようにスライスしても、多くのことを取り入れることができます。 Webアプリのセキュリティに適したチェックリストは1つではありません。最初からセキュリティを設計し、開発のすべての部分でセキュリティに関する考慮事項を含める準備をする必要があります。
OWASPについて私が気に入っているのは、特定の問題の内訳です。次に例を示します。
https://www.owasp.org/index.php/SQL_injection
問題、脅威、脆弱性、例、それに何をすべきかについてのいくつかのアイデアを提供します-私がセキュリティアナリストであろうと、問題を修正しようとしている貧しい人であろうと、私が必要とするほとんどすべてのものです。
これは本当にかなり悪臭を放つ大きな質問です。選択したタグに基づいて、LAMPスタックに関するガイダンスを求めているようにはのように見えるので、これに焦点を当てます。関連する多数の hardening 質問がすでに投稿されているため、追加の洞察については、これらの質問を確認してください。
MySQLサーバーの強化
Linuxサーバーの強化
php.iniファイルを強化するためのベストプラクティスは何ですか?
Apacheサーバーの強化
採用する具体的な手法は、環境とサーバーの使用方法に大きく依存します。警告、これをテスト環境で構築して正しく実行するには、多くの作業が必要になる場合があります。その後、実稼働環境、さらに重要なことにはビジネスプロセスに統合するための多くの作業が続きます。
ただし、最初に、組織に強化ポリシーがあるかどうかを確認します。強化ポリシーが最も直接的に関連する可能性があるためです。そうでない場合は、役割によっては、これらを構築する絶好の機会かもしれません。また、各コンポーネントにボトムアップで個別に取り組むことをお勧めします。
L
あなたを助けるために利用できる良いガイドがたくさんあります。このリストは、ディストリビューションによっては役立つ場合とそうでない場合があります。
A
Apacheは保護するのが楽しい場合があります。 ApacheやPHPよりOSを強化して使いやすさを維持する方が簡単だと思います。
M
P
これは、独自の規律であるセキュアプログラミングプラクティスの全体的なアイデアに真っ向からぶつかります。 SANSとOWASPには、この件に関する馬鹿げた情報が含まれているので、ここでは再現しません。ランタイム構成に焦点を当て、開発者に残りの作業を任せます。 LAMPの「P」はPerlを指す場合もありますが、通常はPHPを指します。私は後者を想定しています。