Излишество безопасности веб-сервера?

Для общедоступного сервера я сказал бы, что установка чего-то как растяжка не является излишеством.

ClamAV является другим разговором. Я рассмотрел бы установку, что это, если Ваши посетители будут совместно использовать файлы путем загрузки на и загрузки с, веб-сайт. PDFs может содержать использование.

На общедоступных серверах у меня есть SSH не, позволяют аутентификацию по паролю, только аутентификацию с открытым ключом. Если SSH только возможен от внутренней LAN затем, Вы могли бы ослабить это.

Куда возможный я поместил бы сервер в демилитаризованную зону так, чтобы он не мог породить соединения ни с какими другими компьютерами на Вашей внутренней LAN.

Нет, Вы не заходили достаточно далеко.

1) Вы нуждаетесь в брандмауэре веб-приложения как mod_security и удостоверяетесь его настроенный, чтобы заблокировать нападения, не просто зарегистрировать их.

2) Заблокируйте вниз php с phpsecinfo.

3) Заблокируйте вниз учетную запись MySQL своего веб-приложения, удостоверьтесь, что Ваше приложение не имеет FILE полномочия, безусловно самый опасный в MySQL.

4) Брандмауэр от всего UDP и всего TCP, в котором Вы не нуждаетесь. Рассмотрите использование порта, стучащего для ssh. Не удается запретить, не почти так же хорошо как получение нулевых попыток.

Можно, вероятно, безопасно установить ПОМОЩНИКА на веб-сервере - добавляющие и удаляющие клиенты не изменяют слишком много конфигурационных файлов, и Вы могли, вероятно, отфильтровать нормальную болтовню довольно легко.

Но что-то, что не упоминает много руководств по обеспечению безопасности веб-сервера, - то, что необходимо включить noexec на/tmp разделе в/etc/fstab. Если Вы предложите хостинг общественности, то очень много людей установят небезопасные веб-приложения без Вашего ведома (и не иметь знание сами, чтобы усовершенствовать их приложения), и Вы в основном упорно ищете эти ошибки навсегда. Если Вы удостоверяетесь, что единственное место, взломщик может сохранить программное обеспечение, является корневым каталогом клиента и/tmp каталогом, то взломщик рискует показывать Вам, где они врываются, если они не могут использовать/tmp каталог. Им не нравится делать это.

Выполнение этого решило подавляющее большинство проблем безопасности на нашем сервере веб-хостинга.

"Добро пожаловать на борт! На борту нашего нового авиалайнера можно наслаждаться рестораном, кино, спортзалом, сауной и бассейном. Теперь закрепите свои ремни безопасности, наш капитан собирается попытаться получить все это переносимое по воздуху дерьмо".

1. mod_security является болью и для Вас и для сервера. Это - голодные ресурсы, и для его правил нужно серьезное поддержание, и это будет бесконечной задачей. И не, это не работает автономное или с Nginx. Если Вы чувствуете, что действительно нуждаетесь в нем, устанавливаете отдельный прокси-сервер (Apache, mod_proxy, mod_security). Это также работает демилитаризованной зоной, Ваши реальные серверы могут быть закрыты для внешнего мира полностью, и если прокси нарушен, так или иначе нет ничего.

2. ClamAV очень тяжел также, если выполнено как демон. Лучше выполнить clamscan периодически в течение неактивных часов до Крона.

3. Растяжка является излишеством, по моему скромному мнению. Но что-то способное для выслеживания руткитов было бы полезно, существует много сценариев (rkhunter, chkrootkit).

4. Я полагаю, что по крайней мере 90% руткитов и т.д. добираются до серверов через загрузки от devs машин Windows. Нет никакого действительно хорошего способа предотвратить это кроме, возможно, принуждения devs, чтобы никогда использовать Windows. Большая часть поиска троянцев учетных данных FTP, поэтому никогда не используйте FTP.

Использует защиту формы капчи в популярном механизме CMS (Wordpress, Jomlaa, Drupal) рассмотренный как методы безопасности? Если да, то можно использовать их:

• Mollom
• Aksimet
• Defensio