Telefonrol irok, bocsanat a tomondatokert...
Ha van tartalek geped oda rakd fel a tores elotti mentest kicsit szigoritott kornyezetben, ha nincs, be kell vallalj par ora kiesest.
Amivel en szoktam kezdeni:
- apache home /dev/null
- apache shell /bin/false
- php-ban minden futtatassal kapcsolatos dolog letilt
- a /tmp es a /var/tmp noexec,nodev-re mountolva (minimum)
- itk vagy suexec-cel elszeparalni a user:group vonalat virthostonkent
- minden olyan mappara, ahova ftp, vagy apache hozzaferhet az auditd- rainditani a letrehozas, torles, atnevezes muveletek logolasara
- valamilyen MAC apparmor, tomoyo, selinux,... apace/ftp-re izgatasa
- a felhasznalok csak virtualis userek legyenek
- logokat lehetoleg egy masik gepre is kuldeni
- csak olyan programok fussanak, amik a szolgaltatasokkal szigoruan osszefuggenek (mast ne is telepits)
- iptables-szel lehetoleg logoltass minden new statuszu kapcsolatot
- rakj fel valami dinamikus tuzfalat (fal2ban) amivel a fobb logokat tudod figyeltetni
- apache ne mondja meg az os/szoftver infokat
- kapcsolj ki minden nem kello modult az apache-ban
- kapcsold ki a directory browsing-ot az apache-ban
- .htaccess hasznalata, engedese rizikos, ha lehet, tiltsd
- php ne logoljon semmit a bongeszobe, csak fajlba
- php basedir megadas
- ha nagyon durvulni akarsz: modsecurity
- fajlrendszer jogokkal, ACL-ekkel beallitani, hogy a user mas adatat ne lassa
Most ennyi jutott eszembe.