Обеспечение и контроль виртуального частного сервера
НАЙДИТЕ был в DOS с тех пор waaaay назад. FINDSTR я не уверен, какой длины это было вокруг, но я не забываю использовать, НАХОДЯТ на основных текстовых файлах и иногда в пакетных файлах некоторое время назад.
Это - то, что я обычно делаю:
- Установите хороший брандмауэр. Выходная фильтрация так же важна как вход. Если бы кому-то удается получить вышибалу IRC, работающего на Вашем VPS, было бы хорошо, если это не могло бы говорить с внешним миром. APF довольно достоин для этого и легок настроить.
- Установите mod_security быстро. Можно получить некоторые действительно всесторонние правила, которые обновляются скорее часто от парней в Gotroot. Правовая оговорка, один из них является моим другом.
- Настройте PHP с suexec, удостоверьтесь свои Сценарии PHP, выполненные как пользователь, который владеет ими. Кроме того, настройте PHP с только, в чем Вы нуждаетесь.
- Не ослабляйте свою конфигурацию PHP только для запущения некоторого скрипта, который Вы находите. Другими словами, не включайте register_globals именно так некоторые устаревшие работы корзины.
- Удаленные серверы системного журнала всегда хороши. Возможно, получите два сервера VPS, используйте для хранения входа дескриптора и резервных копий.
- Осуществите ежедневные проверки руткита. Выполните первый сразу после установки сервера перед вводом его. Они работают путем хранения хешей системных исполняемых файлов и обнаружения, когда вещи изменяются, а также поиск подписей общего использования.
- Если на VPS, где хост управляет Вашим ядром, настаивайте, чтобы они усовершенствовали его. Например, слабость в Linux vmsplice разрешенный обычных пользователей для легкого становления корнем. Удостоверьтесь, что Ваш поставщик делает их усердие в вопросах из Вашего управления.
- Заведите некоторых друзей на связанных форумах различного хостинга, ищите их, а также SF для ответов и подсказок. Этот тип вопроса является довольно общим на тех форумах.
Это в дополнение к объектам, которые предложили другие. Более усовершенствованные инструменты существуют, такие как фырканье - я рекомендую изучить их. Однако этот контрольный список должен быть хорошим для получения Вас идущий на VPS.
-
1What' s использование suexec, когда Вы - единственный пользователь? – Gleb 1 October 2009 в 04:29
-
2@gleb Это предполагало, что каждый размещенный домен будет иметь своего собственного пользователя, корневой каталог, и т.д. (который является хорошей идеей по различным причинам). Что Вы don' t хотят, файлы в/tmp, принадлежавшем ' nobody' или ' www-data' завися. – Tim Post♦ 1 October 2009 в 04:55
Шаг 1: Обновите свое программное обеспечение, поскольку патчи выходят. Если патчи регулярно не выходят для проектов, Вы используете, пора найти альтернативы, которые делают.
Шаг 2: Удаленный вход. Взломщики могут поставить под угрозу машину с PHP, но если Вы экспортируете журналы по сети к более сильному серверу, это - это намного тяжелее для заметания следы.
Шаг 3: Защитите логины SSH. Выполненный SSH на нестандартном порте. Потребуйте сильных паролей или даже ограничьте логины ключей SSH. Установите fail2ban или некоторый другой инструмент обнаружения грубой силы для предотвращения быть разбитым. Отключите корневой доступ, если Ваш дистрибутив достаточно глуп позволить его.
Шаг 4: Обновите свое программное обеспечение. Это переносит повторение. PHP известно плох, и совместно использованный хостинг может сделать его крупным лавашем для обновления, внушив плохое поведение. Проекты как материал пакета Debian Вы могли бы найти в ГРУШЕ и обновлении. Подпишитесь на списки рассылки и планируйте время ежедневно или еженедельно обратиться к исправлению.
Шаг 5: Резервные копии. Когда Вы действительно становитесь взломанными, является самым безопасным восстановить от известной хорошей системы. Возрастающие резервные копии могут помочь Вам с этим.
Существуют тонны пакетов Обнаружения проникновения, как фырканье, помощник, и кислотно-щелочные. Существует также pentesting инструменты как nessus/openvas.
Мне также нравится направлять простой инструмент времени работы на VPS's к отключениям электричества документа в случае, если возмещение в порядке.
jldugger предлагает много прекрасных идей - я прибавил бы к тому, что Вы, вероятно, захотите изучить mod_security апача, а также suexec. Mod_security идет с набором предварительно сделанных фильтров, которые осматривают вызовы http к Вашему серверу и отклоняют их, если он видит что-то подозрительное. Suexec позволяет Вам запустить php/perl/etc скрипты как пользователю, который владеет ими в противоположность им всем выполняемым при www-пользователе-данных.
-
1Что-то I' ve задался вопросом о Suexec и it' s род в течение многих десятилетий... Я вижу значение выполнения сценариев как " me" вместо никого / апачский пользователь в общей установке (бродящие вокруг полномочия № 666/777) Однако мне всегда преподавали, был ли я единственным на поле, был " better" иметь сценарии/апача, работающие как не privlaged пользователь так, чтобы, если бы кто-то был скомпрометирован, у взломщика было бы ограниченное количество вещей, которые они могли бы сделать в системе. Так как Вы, кажется, знаете что you' ре, говорящее о, у Вас есть понимание на той мысли? – Alan Storm 1 October 2009 в 07:31
-
2Если you' ре единственный человек на сервере, затем я предполагаю there' s не много утилиты в выполнении suexec. Если Вы когда-нибудь ожидаете размещать для друзей или что бы то ни было, могло бы стоить получить настроенный теперь так, чтобы it' s легкий вращаться составляет их в будущем. Если that' s не возможность, тем не менее, затем you' ll, вероятно, быть прекрасными без suexec. – EEAA 1 October 2009 в 17:59