Olyan kérésem van aki illetékes a témában hogy segítsen nekem mert most először rakok ki élesbe Ubuntu web szervert és nem tudom mi kell hogy biztonságos legyen ne törjék fel mert egy home server ami után van egy router azzal nincs sok dolog.
Ubuntu 9.04 apache2 mysql php5 webmin s ennyi :P
köszönöm a segítséget :)
- 2104 megtekintés
Hozzászólások
Ez egészen jó írás, én sokszor előveszem ha puskázni kell. :)
-pilisig-
- A hozzászóláshoz be kell jelentkezni
Ez nagyon jó ez a leírás viszont én valami how to-ra gondoltam :P
- A hozzászóláshoz be kell jelentkezni
Ez egy how-to.
udv
letix
---------------------------------------------
linux alapparancsok - http://www.doksi.atw.hu
- A hozzászóláshoz be kell jelentkezni
Inkabb az az erdekes, hogy milyen webapp-ok fognak rajta menni (sajat fejlesztes, vagy valami gyari). Ami gyari, azt tessek rendszeresen updatelni, ami sajat, azt meg ertelmesen megirni.
Ezzel (meg normalis jelszavak valasztasaval) egy homeszerverre leselkedo veszelyek (==script-kiddiek) 99.9%-a kizarhato.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Gyáriak fogna futni rajta
- A hozzászóláshoz be kell jelentkezni
seLinux, GR-Sec, Megfelelő tűzfal (iptables), a jogosultságok alapos átgondolása. Ha gyári CMS rendszer(ek) lesznek rajta, akkor én megondolnám a root Jail -t.
A gyári CMS -ek általában hemzsegnek a hibáktól, biztonsági hiányosságoktól, tehát valami (a rendszeres frissítésen kívül) IDS sem fog ártani (Snort, TripWire, AIDE).
A webkiszolgáló kivállasztása (ne legyen magától érthetődő az Apache), valamint a használt, telepített, rendelkezésre álló modulok megválasztása sem mindegy.
A PHP és MySQL verziójának átgondolt megválasztása, a PHP-ból elérhető függvények, osztályok megválasztása, egyáltalán a php.ini megfelelő beállításai, természetesen a my.cnf beállításai, ez mind-mind igen fontos.
----
概略情報
- A hozzászóláshoz be kell jelentkezni
"seLinux, GR-Sec"
Egyiknek sem ez a neve, raadasul kolcsonosen kizarjak egymast.
"Ha gyári CMS rendszer(ek) lesznek rajta, akkor én megondolnám a root Jail -t."
A chroot jail nem megfeleloen hasznalva nagyobb biztonsagi kockazatot okozhat, mint amit megold - a kerdezonek ez ellenjavalt.
"valami (a rendszeres frissítésen kívül) IDS sem fog ártani (Snort"
Snort a webszerverre, gratulalok. Forgalomfigyelo viruskergetot nem tetetnel ra?
"TripWire, AIDE"
Onmagaban hatastalan, megfelelo backup kialakitas mellett felesleges. Csak megfeleloen hasznalva er valamit, ami viszont egy homeszervernel aranytalan tobbletszopassal jar.
"A webkiszolgáló kivállasztása (ne legyen magától érthetődő az Apache)"
De, legyen. Homeszervernel a terheles jellemzoen ~0, tehat teljesitmeny-szempontok nem jatszanak, ellenben az apache eleg elterjedt ahhoz, hogy nagy meglepetesekre mar ne szamitsunk a kodjaban - vagy ha megis, akkor azt inkabb a paypal.com-on lojek el, mint a szoban forgo homeszerveren.
"A PHP és MySQL verziójának átgondolt megválasztása"
Atgondolod, hogy a legujabbat tetted-e fel?
"PHP-ból elérhető függvények, osztályok megválasztása, egyáltalán a php.ini megfelelő beállításai, természetesen a my.cnf beállításai"
Ja, vegulis erdemes tiltani az exec/shell_exec/passthru/system/proc_open/popen-t, allow_url_fopen/allow_url_include-t, register_globals-t, display_errors-t, meg allitani open_basedir-t, mysql-ben meg kikapcsolni myisam tablakra a symlink kovetest, meg a load data local-t, de ez nem csodaszer, es az adott kornyezetben kar tullihegni.
Ami viszont erdekes lehet, hogy a mysql usereknek ne adj olyan jogokat, ami nem kell nekik (altalaban select, insert, update, delete, esetleg create/drop table boven eleg).
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni