Практика предоставления доступа уровня пользователя к любому со счетом PayPal или кредитной картой находится в и себя безумие. Я работал в промышленности хостинга к лучшему часть прошлых шести лет, и я все еще нахожу это безумным.
Это - список того, что я делаю для большинства серверов (совместно использованный или не) ни в каком особом логическом порядке:
- Я почти никогда не использую предоставленное ядро дистрибутива. Я сохраняю наше собственное дерево ядра, которое остается в ногу с магистралью Linux... до grsecurity разрешения. Не только меры безопасности, также мера по оптимизации. Вы не найдете материал как параллель / usb / аудио поддержка в наших ядрах (поскольку веб-серверам не нужны они). Ядра создаются для использования только материала на плате, в которой мы нуждаемся.
- 9/10 плохие вещи впущены ошибочными пользовательскими сценариями. Многие клиенты знают, что достаточно PHP опасно. mod_security является одним из моих лучших друзей, я плачу за подписки к укрепленным наборам правила и держу их в курсе почти еженедельно.
- Аудит очень важен, я также рекомендую использовать OSSEC или что-то подобное.
- Все мои серверы присоединены к обслуживанию LAN, которой я могу достигнуть независимо от сети общего пользования. / если вещи действительно разлагаются и при нахождении сервера так занятые пакеты спама отправки на всем протяжении Интернета Вы будете ценить наличие иначе в. Мне также установили KVM's IP на всех серверах или IPMI в зависимости от аппаратных средств.
- В последнее время я использовал Xen в качестве уровня управления для общих серверов. Я создаю единственного гостя, который имеет 99% памяти системы. Это позволяет мне делать вещи как восстановления файловой системы / снимки / и т.д. скорее безболезненно. Может действительно помочь в восстановлении, если вещи идут не так, как надо (и удобный для сокрытия LAN от общего сервера).
- Я поддерживаю базирующийся брандмауэр очень строгого iptables, который особенно строг когда дело доходит до выхода.
- Я очень осторожен относительно того, кто может получить доступ к системному компилятору и соединению инструментов.
- Я обновляю системное программное обеспечение неукоснительно.
- Я делаю периодические сканирования, чтобы гарантировать, что люди невольно не выполняют старые и уязвимые версии распространенных приложений, такие как Wordpress, PHPBB, и т.д.
- Я предлагаю свободную установку материала, который клиенты 'находят в Интернете'. Это действительно помогает мне контролировать то, что размещается при предложении клиентам дополнительного значения. Это также помогает гарантировать, что вещи установлены надежно и правильно.
- Всегда, всегда, всегда укрепляйте PHP, удостоверяйтесь, что Вы используете suexec для PHP также. Ничто не хуже, чем нахождение бота в/tmp, принадлежавшем 'никому' :)
Наконец, наконец, что не менее важно:
- Я на самом деле считал системные файлы журнала. Столько хостов подбегает для наблюдения то, что пошло не так, как надо только после того, как проблема замечена. Даже когда с помощью инструментов как OSSEC, его важное, чтобы быть превентивным.
Ссылка
set xfer:clobber on
. Выбор serverfault повредить строку посреди команды был неудачен. – DerfK 29 October 2010 в 23:03