वेब सर्वर सुरक्षा ओवरकिल?

9

मैं एक लिनक्स वेब सर्वर हासिल करने पर "व्यापक" शोध कर रहा हूं। शीर्ष पर "मूल बातें" (अप्रयुक्त सेवाओं को हटाने, एसश, आईप्लेट्स इत्यादि को सख्त करना) माना जाता है, क्या एंटी-रूटकिट्स (ट्रिपवायर) और एक एंटी-वायरस (क्लैमव) को शामिल करना बुद्धिमान है? क्या ये सिर्फ एक वेब सर्वर के लिए ओवरकिल हैं? मुझे पता है कि यह एक बहुत ही अस्पष्ट सवाल है, लेकिन मैं दूसरों की राय पर उत्सुक हूं।

मेरा भविष्य का वातावरण: - ubuntu 10.04 - fail2ban - nginx 0.8.x - php 5.3.x (suhosin, apc, memcached) - mongodb 1.6.x

संभावित अनुप्रयोग: - वेब सेवाएं - उपयोगकर्ता अपलोड के साथ वेब एप्लिकेशन (चित्र, पीडीएफ़, आदि) - विशिष्ट वेबसाइट (फ़ॉर्म, आदि)।

यदि आपके पास कोई अन्य सुझाव है, तो कृपया बेझिझक जोड़ें!

धन्यवाद

linux  security  clamav  tripwire 
हारून
स्रोत

जवाबों:

8

एक सार्वजनिक सामना करने वाले सर्वर के लिए, मैं कहूंगा कि ट्रिपवायर की तरह कुछ स्थापित करना ओवरकिल नहीं है।

ClamAV एक अलग मामला है। मैं यह निर्धारित करने पर विचार करूंगा कि यदि आपके आगंतुक आपकी वेबसाइट पर अपलोड और डाउनलोड करके फ़ाइलें साझा कर रहे हैं। पीडीएफ में शोषण हो सकता है।

सार्वजनिक सामना करने वाले सर्वरों पर, मेरे पास SSH को पासवर्ड प्रमाणीकरण की अनुमति नहीं है, केवल सार्वजनिक-कुंजी प्रमाणीकरण है। यदि SSH केवल एक आंतरिक LAN से संभव है तो आप इसे आराम कर सकते हैं।

जहां संभव हो मैं सर्वर को डीएमजेड पर रखूंगा ताकि यह आपके आंतरिक LAN पर किसी अन्य कंप्यूटर से कनेक्शन उत्पन्न न कर सके।

RedGrittyBrick
स्रोत
2
LMD (लिनक्स मालवेयर डिटेक्शन), rfxn.com/projects/linux-malware-detect - इस तरह के मैलवेयर के लिए स्कैन जो वेब एप्लिकेशन (HTML, PHP, जावास्क्रिप्ट फ़ाइल परिवर्तन) को संक्रमित करता है, ताकि आपकी साइट का उपयोग किया जा सके एसईओ स्पैमिंग, फ़िशिंग, आगंतुकों के पीसी के संक्रमण, आदि
रिचवैल
3

नहीं, तुम बहुत दूर नहीं गए थे।

1) आपको mod_security जैसे वेब एप्लिकेशन फ़ायरवॉल की आवश्यकता है और सुनिश्चित करें कि इसके हमलों को ब्लॉक करने के लिए कॉन्फ़िगर किया गया है, न कि केवल उन्हें लॉग इन करें।

2) phpsecinfo के साथ php को लॉक करें

3) अपने वेब एप्लिकेशन के MySQL खाते को बंद कर दें, सुनिश्चित करें कि आपके आवेदन में FILEविशेषाधिकार नहीं हैं , यह MySQL में अब तक का सबसे खतरनाक है।

4) सभी यूडीपी, और सभी टीसीपी को फ़ायरवॉल बंद करें जिसकी आपको आवश्यकता नहीं है। Ssh के लिए पोर्ट नॉकिंग का उपयोग करने पर विचार करें । प्रतिबंध लगाने में विफल शून्य प्रयासों के रूप में लगभग अच्छा नहीं है ।

कौआ
स्रोत
1) मैं इस धारणा के तहत था कि ModSecurity केवल Apache (मैं nginx का उपयोग कर रहा हूं) के साथ पैक किया जा सकता है। लेकिन स्पष्ट रूप से यह स्टैंडअलोन चला सकता है? मैं इस धन्यवाद में देखना होगा! मैंने कुछ सुविधाओं के लिए calomel.org/nginx.html का अनुसरण किया है।
आरोन
4) मैं आने वाले और बाहर जाने वाले ट्रैफ़िक को ब्लॉक करने के लिए iptables का उपयोग करता हूं जब तक कि यह मेरा ssh पोर्ट, https, या https (इनकमिंग, आउटगोइंग) नहीं है। जैसे-जैसे मैं साथ जाऊँगा, मैं और अधिक खोलूँगा। पोर्ट दस्तक, ssh के लिए एक दिलचस्प अतिरिक्त है, हालांकि! एक बार फिर धन्यवाद!।
हारून
@Aaron मुझे यकीन नहीं है कि आप nginx का उपयोग क्यों करेंगे। आप अपाचे + mod_security को प्रॉक्सी के रूप में उपयोग कर सकते हैं जो कुछ भी अजीब और सुविधाहीन httpd का उपयोग करके आप मांग करते हैं।
Rook
2

आप शायद AIDE को वेब सर्वर पर सुरक्षित रूप से स्थापित कर सकते हैं - ग्राहकों को जोड़ना और निकालना बहुत अधिक कॉन्फ़िगरेशन फ़ाइलों को नहीं बदलता है, और आप शायद सामान्य चैटर को बहुत आसानी से फ़िल्टर कर सकते हैं।

लेकिन ऐसा कुछ है जो बहुत सारे वेब सर्वर सुरक्षा गाइडों का उल्लेख नहीं करता है कि आपको अपने / tmp विभाजन को / etc / fstab में noexec चालू करना चाहिए। यदि आप सार्वजनिक रूप से होस्टिंग की पेशकश कर रहे हैं, तो कई अच्छे लोग आपकी जानकारी के बिना असुरक्षित वेब एप्लिकेशन इंस्टॉल करेंगे (और उनके आवेदनों को रखने के लिए खुद को ज्ञान नहीं है), और आप मूल रूप से इन बगों का हमेशा के लिए पीछा कर रहे हैं। यदि आप यह सुनिश्चित करते हैं कि एक ही स्थान पर आक्रमण करने वाला सॉफ़्टवेयर सहेज सकता है, तो वह ग्राहक की होम निर्देशिका और / tmp निर्देशिका है, तो हमलावर आपको यह दिखाने का जोखिम चलाता है कि वे कहाँ तोड़ रहे हैं यदि वे / tmp निर्देशिका का उपयोग नहीं कर सकते हैं। उन्हें ऐसा करना पसंद नहीं है।

ऐसा करने से हमारे वेब होस्टिंग सर्वर पर अधिकांश सुरक्षा समस्याएं हल हो गई हैं।

एर्नी
स्रोत
2

"आपका स्वागत है! हमारे नए एयरलाइनर के बोर्ड पर आप रेस्तरां, सिनेमा, जिम, सौना और स्विमिंग पूल का आनंद ले सकते हैं। अब अपनी सीट बेल्ट बांधें। हमारा कप्तान यह सब बकवास हवा लेने की कोशिश करने जा रहा है।"

  1. mod_security आपके और सर्वर दोनों के लिए एक दर्द है। यह संसाधनों की भूख है और इसके नियमों को गंभीर बनाए रखने की आवश्यकता है और यह एक चुनौतीपूर्ण कार्य होने जा रहा है। और नहीं, यह स्टैंडअलोन या Nginx के साथ काम नहीं करता है। यदि आपको लगता है कि आपको वास्तव में इसकी आवश्यकता है, तो एक अलग प्रॉक्सी सर्वर (Apache, mod_proxy, mod_security) सेटअप करें। यह डीएमजेड के रूप में भी काम करता है, आपके वास्तविक सर्वर पूरी तरह से बाहरी दुनिया के लिए बंद हो सकते हैं, और यदि प्रॉक्सी का उल्लंघन होता है, तो वैसे भी कुछ भी नहीं है।

  2. क्लैमाव बहुत भारी है, भी, अगर एक डेमॉन के रूप में चलाते हैं। क्रोन से गैर-सक्रिय घंटों के दौरान समय-समय पर क्लैमस्कैन चलाना बेहतर होता है।

  3. ट्रिपवायर ओवरकिल, IMHO है। लेकिन रूटकिट्स का शिकार करने में सक्षम कुछ उपयोगी होगा, बहुत सारी लिपियाँ हैं (rkhunter, chkrootkit)।

  4. मेरा मानना ​​है कि कम से कम 90% rootkits आदि को devs Windows मशीनों से अपलोड के माध्यम से सर्वरों को मिलता है। विंडोज को कभी भी इस्तेमाल न करने के लिए मजबूर करने के अलावा इसे रोकने के लिए वास्तव में कोई अच्छा तरीका नहीं है। ट्रोजन क्रेडेंशियल्स के लिए अधिकांश ट्रोजन खोज करते हैं, इसलिए कभी भी एफ़टीपी का उपयोग न करें।

moskit
स्रोत
यह जानकर अच्छा लगा कि ... अपाचे मार्ग लेने का मेरा कोई इरादा नहीं है, इसलिए मैं उन सभी सुरक्षा पहलुओं से चिपके रहूँगा जो मुझे नगनेक्स के लिए मिल सकते हैं। मैं संभवत: क्लैमस्कैन / रूखंटर मार्ग को समाप्त करूंगा। सुझावों के लिए धन्यवाद!
हारून
0

क्या लोकप्रिय CMS इंजन (Wordpress, Jomlaa, Drupal) में कैप्चा फॉर्म सुरक्षा का उपयोग सुरक्षा प्रथाओं के रूप में माना जाता है? यदि हाँ, तो आप इनका उपयोग कर सकते हैं:

affanzbasalamah
स्रोत
विरोधी स्पैम सुरक्षा ? हाँ। लेकिन यहां लेखक अनधिकृत उपयोगकर्ताओं के खिलाफ अपने सर्वर को लॉक करना चाहता है, जिसका कैप्चा से कोई लेना-देना नहीं है।
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.