Назад | Перейти на главную страницу

Как я могу проверить безопасность своего сервера?

Как я могу проверить безопасность своего сервера?

Пожалуйста, я знаю, что это слишком общий вопрос. Но мне было интересно, есть ли программное обеспечение для тестирования или веб-сервис, проверяющий все порты вашего сервера, или, возможно, дыры в безопасности?

Я обычно проверяю разрешения unix и все, но что я могу сделать?

пс. Пользователи не могут загружать файлы с помощью моих веб-приложений, поэтому у меня нет этой проблемы.

Основываясь на ваших тегах, вот несколько основных советов:

ОС (Linux)

  • Применить обновления / исправления безопасности, включая ядро
  • Инструмент контрольной суммы для обнаружения изменений файлов / разрешений, таких как aide, fcheck, tripwire и т. Д.
  • Включайте только те сетевые службы, которые вы действительно используете (проверьте с помощью netstat -tulpen)
  • Вменяемое определение пользователя: у кого есть root-доступ?
  • SSH: отключить прямой вход root
  • Аппаратный или программный брандмауэр

PHP

  • Использовать закаленный PHP (Сухосин)
  • Google в Интернете для получения лучших практик безопасности на PHP

MySQL

  • Eiter позволяет ему работать с сокетами Unix или через TCP, но только на localhost / вашей локальной сети
  • Определите пароль root
  • Определите ограниченных пользователей для каждого отдельного приложения

Это просто основы, записанные за 2 минуты. Theres много Больше.

Скачать Возврат и запустите AutoPwn FastTrack на вашем сервере. Это полностью автоматизированный подход, но это отличный способ, не требующий больших усилий, для поиска низко висящих фруктов.

Если у вас есть веб-компоненты, SkipFish - еще один отличный инструмент для автоматического тестирования.

Есть много тестов, которые вы можете выполнить, и множество инструментов, доступных для тестирования. Для начала вы могли бы побежать Никто.

Хотя вы можете полагать, что пользователи не могут загружать файлы, брешь в безопасности в приложениях или сервисах вполне может доказать обратное, как многие уже поняли на собственном горьком опыте. Всегда работайте с предположением, что ваша система сломана и уязвима, и ищите способы исправить это, прежде чем кто-то другой найдет для вас дыры.

Если у вас есть доступ к системе, вы можете узнать, какие порты могут быть открыты, используя netstat. Он может перечислить все прослушивающие порты. Брандмауэры и другие меры безопасности могут снизить риск.

Сопоставьте этот список с удаленным сканированием. Изучите все порты, которые показывает удаленное сканирование, которых нет в списке netstat. Не должно быть ничего, что не учитывается правилами DNAT на брандмауэре.

Отключите все ненужные службы. Раньше было обычным делом запускать различные ненужные службы. Многие были банальными, например, chargen, time, daytime и другие. Некоторые из них были значительными, например Telnet, FTP, HTTP.

Для сервисов необходимо только внутренне настроить их для прослушивания 127.0.0.1 и / или :: 1 (IPv6), если это возможно.

BackTrack FastTrack's AutoPwn хорош для действительно старых серверов с очень старыми установленными пакетами. Если у вас есть современные обновленные linux / windows, он ничего не найдет. (Мне нравится возврат, но это серьезный инструмент, требующий обширных знаний в области безопасности и тестирования на проникновение)

Я бы порекомендовал установить и просканировать ваш сервер с помощью Nessus, он довольно мощный (хотя бесплатная версия не имеет последних сигнатур уязвимостей) и может не только сканировать открытые порты и удаленное уязвимое программное обеспечение, но также входить на сервер с учетными данными root и выполнять локальные аудит.

Это просто инструмент, этого недостаточно, чтобы сделать ваш сервер «безопасным», но вместе, например, с советами Weyheavy вы можете стать ближе.

Еще бы добавил Мониторинг. Установите OSSEC или его аналог (tripwire и т. Д.), Вы хотите получать уведомления, если что-то странное происходит на сервере в режиме реального времени по электронной почте / sms / и т. Д.

Для этого есть несколько сервисов, которые обычно продаются как сканирование на соответствие PCI-DSS. Я имею в виду, что это не самое главное в сканировании безопасности, но соответствие PCI-DSS требует высокого уровня безопасности.

Вероятно, это разумная отправная точка. Имейте в виду. Это не дешево.

изменить: я использовал HackerGuardian в прошлом, и это чертовски хорошо. Цена устанавливается после первого бесплатного сканирования - 249 долларов в год.

Что ж, вы можете начать с nmap и проверить, какие порты / службы открыты.

Если вы хотите узнать, вы можете взглянуть на http://www.hackthissite.org/ и http://www.hellboundhackers.org/ и день за днем ​​узнавайте, как защитить себя от других, но помните, что это будет долгий путь.

Отчеты о программном обеспечении могут вам помочь, но они защитят вас только от детей-скрипачей, хороший хакер найдет брешь, и только другой человек сможет найти и исправить (предотвратить) проблему.

Это программное обеспечение стоит денег и достаточно, чтобы заплатить профессионалу за создание отчета и решение одновременно.

Итак, если ваш веб-сервер действительно важен, обратитесь за помощью, правильно ли потрачены деньги (опять же, упомянутые выше сайты).

Изучите каждый вектор атаки.

Физические: Это довольно просто. Сервер в стойке? он заблокирован? у кого есть ключ? Насколько безопасен ключ? Сервер - это комната? Комната заперта? Порты usb доступны или включены? и т.п.

Если это коммутатор, используете ли вы безопасность порта? и т.п.

Сеть: Менее простой, но самый распространенный. Проверьте свои порты, просканировав все открытые порты на сервере с помощью nmap или wirehark или чего-то еще. Определите, насколько ограниченными вы хотите, чтобы эти сетевые службы были в зависимости от того, как вы хотите, чтобы они работали и насколько уязвимыми они делают вас.

Например; служба http, ограничить доступ, кроме подсети? хозяином? пользователем? Проверить распространенные уязвимости; включена индексация и т. д.

Человек / Социальные: Это то, что нелегко исправить с помощью ИТ, обычно отдела кадров. Но вот кое-что вы можете сделать. Политика паролей; Старая школа мысли заключается в регулярной смене паролей, но, похоже, это заставляет конечных пользователей выбирать слабые пароли. Создание паролей для пользователей, как правило, заставляет их записывать их. Вам нужно будет найти политику, которая лучше всего вам подходит, но вы можете обучить конечных пользователей тому, как создать надежный пароль, но менять пароль раз в год или никогда. Также обучите конечных пользователей тому, как управлять паролями и хранить их в секрете.

Является гугл снова вниз?

Приложения, перечисленные в приведенной выше ссылке, в основном обеспечивают проверку типа отпечатков пальцев для четко определенных одномодовых атак - это не заменяет надлежащую оценку безопасности, однако запуск nessus / nikto - это начало, а устранение проблем, которые могут показаться неразрешимыми, может предотвратить множественные векторные атаки. (Это также убирает низко висящие плоды, поэтому вы можете быть немного более уверены в том, что любой, кого вы привлекаете для правильной проверки безопасности, должен заработать свою плату).

Я обычно проверяю разрешения unix и все

эээ, да - вам нужно сделать намного больше. Означает ли это утверждение, что у вас есть модель безопасности разрешений? Это действительно так? Насчет другого доступа к серверу (консоль, ssh, ftp ...). Если у вас еще нет подробной политики безопасности, нет смысла просить кого-нибудь протестировать систему, если она безопасна. Политика должна охватывать такие вещи, как развертывание программного обеспечения, определение и внедрение исправлений поставщика, резервное копирование, проверка руткитов.