स्टैक ओवरफ्लो पर इस सवाल के समान , एक सार्वजनिक साइट के प्रशासक होने से पहले निजी, इंट्रानेट-प्रकार की स्थितियों के लिए उपयोग किया जाने वाला sysadmin क्या होना चाहिए?
ये सुरक्षा संबंधी चीजें हो सकती हैं, जैसे " telnetखुली छुट्टी न छोड़ें " या व्यावहारिक चीजें जैसे उच्च-यातायात साइट के लिए लोड-बैलेंसिंग कैसे करें।
जवाबों:
हर ऐप, हर बाइनरी, सर्वर पर मौजूद हर पैकेज एक दायित्व है। 'कम से कम बिट' सिद्धांत की सदस्यता लें; यदि यह स्थापित नहीं है, तो यह समझौता नहीं किया जा सकता है।
इंट्रूज़न डिटेक्शन को लागू करें, जैसे कि ट्रिपवायर या समान, और अक्सर स्कैन करें।
एक हार्डवेयर फ़ायरवॉल में निवेश करें और केवल अपने आवेदन के लिए आवश्यक पोर्ट खोलें। अपने प्रशासन पोर्ट (ssh, rdp आदि) को सार्वजनिक रूप से दिखाई न दें; उन्हें अनुमोदित प्रबंधन आईपी पते तक सीमित करें।
उत्पादन में जाने के समय अपने फ़ायरवॉल / स्विच / राउटर कॉन्फ़िगरेशन का बैकअप लें। यदि उन उपकरणों में से एक से छेड़छाड़ की जाती है, तो डिवाइस के मस्तिष्क को पोंछकर और घड़ी के टिक होने पर लाइन के ऑडिट द्वारा लाइन का प्रदर्शन करने की तुलना में पुनः लोड करना काफी तेजी से होता है।
कोई नया पोर्ट नहीं खोला गया है, यह सुनिश्चित करने के लिए बार-बार बाहर से अपने वातावरण को नार्मल करें।
इंटरनेट पर कभी भरोसा न करें; सुनिश्चित करें कि यह जो कुछ भी है कि आप नेट तक सेवा कर रहे हैं वह एक सुरक्षित है क्योंकि यह (उदाहरण के लिए, SQL-इंजेक्शन हमलों को रोकने के लिए सर्वर-साइड इनपुट सत्यापन और सेनेटाइजेशन कर सकता है)।
अपने पेटिंग के ऊपर रखें।
यदि आप समझौता कर रहे हैं, तो नए सिरे से डाउनलोड किए गए मीडिया के साथ खरोंच से पुनर्निर्माण करें। आप अब भरोसा नहीं कर सकते हैं कि आपके बैकअप सुरक्षित हैं और समझौता नहीं किया है (हालांकि ट्रिपवायर इस से मदद कर सकता है) निष्क्रिय, गैर-निष्पादन योग्य डेटा के अलावा और कुछ के लिए।
एक उपकरण जो मैंने नेटवर्क सख्त के लिए काम किया है, वह है नेसस
मूल रूप से, आप इसे एक बाहरी सर्वर पर सेट करते हैं, और यह आपके नेटवर्क को ज्ञात कारनामों के पूरे झटके के साथ हमला करने की कोशिश करता है । आप इसे सुरक्षित मोड के लिए सेट कर सकते हैं (जहां कोई भी हमला आपके सर्वर को क्रैश नहीं करना चाहिए), या यदि आपको पूरा भरोसा है कि आपके पास सब कुछ पैच है, या असुरक्षित मोड के लिए यदि आवश्यक हो, तो अपने सर्वर को रिबूट करने का जोखिम उठा सकते हैं ।
फिर यह प्रत्येक मशीन के लिए एक बहुत ही पूर्ण श्रेणीबद्ध रिपोर्ट प्रदान करेगा जो यह देख सकता है कि इसमें कौन सी कमजोरियां / कमजोरियां हैं, और उन्हें गंभीरता के रूप में रेट करें - और यहां तक कि मुद्दों को संबोधित करने के लिए कार्रवाई की सिफारिश करें।
उन्हें पता होना चाहिए कि उनका बैकअप और डिजास्टर रिकवरी सिस्टम किस तरह से काम कर रहा है और जब वे समझौता करते हैं तो वे कैसे सिस्टम को ठीक करेंगे।
यह थोड़ा विपरीत है, लेकिन सुरक्षा के लिहाज से मैं आंतरिक सर्वर और बाहरी सर्वर के बीच अंतर नहीं करता। जल्दी या बाद में किसी को फ़ायरवॉल में गलती होगी, प्रबंधन एक सर्वर को उजागर करने का आग्रह करेगा क्योंकि एक महत्वपूर्ण ग्राहक, बेट्टी इन अकाउंटिंग किसी भी तरह से उसे संक्रमित होम मशीन, आदि पर एक vpn क्लाइंट मिलेगा।
उस ने कहा, परतें आपके दोस्त हैं, और आपको डिफ़ॉल्ट रूप से ब्लैकलिस्ट करना चाहिए।
परतें - आपके पास सुरक्षा की कई परतें होनी चाहिए। उदाहरण के लिए, एक हार्डवेयर फ़ायरवॉल और एक सॉफ्टवेयर फ़ायरवॉल। ये सैद्धांतिक रूप से एक ही उद्देश्य की सेवा करते हैं, लेकिन कई परतों का होना गलतियों से बचाता है और एक परत के शोषण के परिणामों को कम करता है।
लेयरिंग का एक अन्य पहलू "होम्योकंबिंग" है, जो अनिवार्य रूप से कई डीएमजेड है। कुछ बिंदुओं पर आपको अपनी मशीनों और अपने खातों तक पहुंचने वाले लोगों के बीच कुछ स्तर का विश्वास रखना होगा। यदि आप बातचीत के उन बिंदुओं को संकीर्ण कर सकते हैं, तो आप किसी भी बिंदु पर उस तरह के ट्रैफ़िक को कसकर नियंत्रित कर सकते हैं जिस पर आप भरोसा करते हैं। उदाहरण के लिए, यदि आप अपने डेटाबेस सर्वर से इंटरफ़ेस / ऐप सर्वर को अलग करते हैं, तो आप विश्वास के स्तर को कम करते हैं। यदि आपके ऐप सर्वर से छेड़छाड़ हो जाती है, तो उन हमलावरों को आपके बुनियादी ढांचे (जो कि अपने हमले को जारी रखने के लिए और आपके अन्य सर्वरों का फायदा उठाने का प्रयास करने के लिए, कम से कम पैर जमाने के लिए प्राप्त होता है, वे केवल उन स्थापित ट्रस्ट पॉइंट्स का उपयोग करने के लिए हैं)।
डिफ़ॉल्ट रूप से ब्लैकलिस्ट करने के संबंध में, आपको मूल रूप से सब कुछ बंद करना चाहिए और मांग (भले ही यह केवल स्वयं की हो) आपके द्वारा खोले गए प्रत्येक पोर्ट के लिए औचित्य, उपयोगकर्ता नाम जिसे आप एक्सेस करने की अनुमति देते हैं, ऐप आप इंस्टॉल करते हैं, आदि।
किसी भी सार्वजनिक इंटरफेस के साथ सिस्टम पर, सुनिश्चित करें कि आपके उपयोगकर्ताओं के पास सुरक्षित पासवर्ड नीति को लागू करने से सुरक्षित पासवर्ड है , और पासवर्ड फ़ाइल को एक पासवर्ड क्रैकिंग उपयोगिता के साथ परीक्षण करना है जैसे जिपर द रिपर।
आप कई असफल प्रयासों के बाद आईपी पते को अवरुद्ध करके ब्रूट-फोर्स पासवर्ड-अनुमान हमलों के खिलाफ पहरा दे सकते हैं । इसके लिए एक अच्छा उपकरण (linux पर) fail2ban है
आपका स्विच हैक किया जा सकता है और कोई डेटा के साथ छेड़छाड़ कर सकता है। यदि आप स्विच के स्वामी नहीं हैं, तो एक वीपीएन सेटअप करें, क्योंकि प्रति-आईपी फ़ायरवॉल एक्सेस प्रतिबंध पर्याप्त नहीं हो सकता है।
किसी भी पोर्ट को खुला न छोड़ें, लेकिन जिन्हें आप यूजर्स और हैकर्स तक पहुंचना चाहते हैं। हर महीने दूसरी साइट से अपने खुद के सर्वर को स्कैन करें।
हैकर्स के लिए ssh का डिफ़ॉल्ट पोर्ट खुला न छोड़ें।