Mam pomysł na stronę internetową, którą chcę zbudować i uruchomić, i zastanawiam się nad tym, aby uzyskać mały serwer VPS, który będzie go obsługiwał (lubię Linode za ich cenę i wydaje się, że są one powszechnie zalecane). Jestem dość spłukany, więc nie stać mnie na zarządzany serwer.
Pobrałem Ubuntu Lucid Server i uruchomiłem go w VirtualBox, aby pomóc mi się uczyć i działać jako przybliżenie do ewentualnego serwera produkcyjnego. Jestem zaangażowany w naukę, ale obawiam się, że przegapię coś głupiego i pójdę na kompromis. Jako taki chciałbym wiedzieć o dobrych przewodnikach / książkach wyjaśniających główne punkty zabezpieczania serwera LAMP.
Przepracowałem podstawowe rzeczy w tutorialach Linode i Slicehost, ale chcę być jak najlepiej przygotowany. Witryna nie jest jeszcze napisana i prawdopodobnie wdrożę ją najpierw na hostie współdzielonym w ramach wersji próbnej, więc mam czas, aby nauczyć się przynajmniej podstaw.
Wiem, żeby wszystko aktualizować, konfigurować iptables, aby zezwalały tylko na potrzebne mi dziury (które wydają się być tylko portami TCP 22, dla ssh / scp / sftp - zmienię go z domyślnego portu dla (bardzo niewielkich) zabezpieczeń dzięki premii za zaciemnienie - i 80 za http) - chociaż jestem zdezorientowany niektórymi samouczkami, które mówią o blokowaniu ICMP, ponieważ nie wiem, dlaczego nie chciałbym odpowiadać na ping - i tylko instalować oprogramowanie, którego potrzebuję / usuwam. potrzebujesz.
Odpowiedzi:
Przeczytaj Podręcznik bezpieczeństwa w Gentoo . Większość z nich powinna mieć zastosowanie do dowolnej dystrybucji Linuksa.
źródło
Ponieważ już korzystasz z Ubuntu, polecam ich Przewodnik po serwerze , który oferuje podstawowy przegląd wspólnego zestawu domyślnych usług.
Zobacz także Linux Server Security od O'Reilly. Właściwie, poszukaj w Amazon kilku ofert.
Lista kontrolna hartowania serwerów Googling wydaje się zwracać dobre, praktyczne sposoby szybkiego stwierdzenia, czy coś jest rażąco nie tak z twoją konfiguracją.
Na koniec przejdź do sekcji bezpieczeństwa serverfault i zapytaj.
Edycja: również ICMP powinien być blokowany na podstawie wiadomości. Aby uzyskać szczegółowe informacje, zobacz Filtrowanie pakietów ICMP .
źródło
Sugerowana lektura z (głównie) wiarygodnych i renomowanych źródeł amerykańskich:
Należy również przeczytać ostrzeżenia w postaci drobnych druków w instrukcjach systemu operacyjnego.
źródło
Tylko częściowa odpowiedź, ale napisałem samouczek IPtables, który może ci się przydać. http://www.ellipsix.net/geninfo/firewall/index.html
Oprócz IPtables musisz skonfigurować SSH i Apache, ale te są dostarczane z domyślnymi konfiguracjami, które są już trochę bezpieczne, więc jest tylko kilka rzeczy, które prawdopodobnie będziesz musiał zmienić. Oczywiście, gdy dodasz więcej funkcji do swojej witryny, będziesz musiał odpowiednio aktualizować konfigurację. Ktoś inny może polecić do tego dobre referencje.
W rzeczywistości stworzę tę wiki społeczności, aby jeśli ktoś chciał dodać linki, mógł to zrobić.
źródło