У нас есть чистая установка CentOS 5.6 и virtualmin, вот и все. Какие меры безопасности вы бы посоветовали использовать?
http://www.wiredtree.com/supportservices/servershield.php Я думаю, на этой странице есть хорошее резюме контрольных списков. какие шаги по этому поводу необходимо сделать? или у вас есть предложения получше, чем эти меры безопасности:
(Кажется, проблема особенно важна для защиты от ddos и грубой силы)
Firewall Protection:
APF – Configure both ingress and egress firewall protection.
BFD – Detect and prevent brute force attacks.
CPHulk – Detect and prevent brute force attacks.
HTTP Intrusion and DOS Protection:
Mod_security – Install and configure mod_security for Apache with auto-updating ruleset.
Mod_evasive – Install and configure DOS, DDOS, and brute force detection and suppression for Apache.
PHP SuHosin – PHP Hardening through the Hardened PHP Project. Available on request.
Server Hardening:
Disable IP Source Routing – Enable protection against IP source route attacks.
Disable ICMP Redirect Acceptance – Enable protection against ICMP redirect attacks.
Enable syncookie protection – Enable protection against TCP Syn Flood attacks.
Enable ICMP rate-limiting – Enable protection against ICMP flood attacks.
Harden host.conf – Enable spoofing protection and protection against DNS poisoning attacks.
Harden Apache – Prevent module and version disclosure information.
Harden SSH – Allow only SSH version 2 connections.
Harden Named – Enable protection against DNS recursion attacks.
Ensure Filesystem Permissions – Fix permission on world writable directories and prevent against directory-transversal attacks.
Harden temporary directory and shared memory locations – Enforce noexec, nosuid on tmp and shm mounts.
Harden “fetching” utilities - Allows root-only access of wget, curl, and other utilties often used in web-based attacks.
Remove unnecessary packages – removes RPMS which are not needed to prevent against potential vulnerabilities and free up disk space.
Disable unused services – Disable services which are not used.
Disable unneeded processes – Disable processes which are not needed for server operation.
PAM Resource Hardening – Protects against exploits which use core dumps and against user resource exhausting through fork bombs and other shell attacks.
PHP Hardening – Enable OpenBaseDir protection.
Security Audits:
Rootkit Hunter – Nightly scan to detect system intrusions.
Chkrootkit – Nightly scan to detect system intrusions.
Nobody Process Scanner – Scans for unauthorized "nobody" processes.
Это широкий вопрос, и мой первый ответ может показаться грубым:
Удалите Virtualmin!
Пожалуйста, не поймите неправильно, но возможность открыть некоторые двери с помощью нескольких щелчков мыши указывает прямо на самую важную тему безопасности: тему между клавиатурой и стулом.
Если вам нужна безопасная настройка, вам следует:
Если у вас большой автоматизированный стек безопасности, вы этого совсем не понимаете, у вас может быть больший риск взлома, чем с небольшим стеком, вы действительно знаете.
Самыми распространенными ошибками в среде хостинга являются настройки веб-приложений и db (подключения). Позаботьтесь о Joomla и друзьях, сделайте так, чтобы ваша БД слушала только на localhost. Всегда используйте настройки максимально ограниченно. Например: избегайте chmod 777, прочтите свои журналы. Следите за машиной с помощью nagios. Будьте параноиком.
Я действительно уверен, что здесь вы найдете помощь в конкретных случаях. Во многих случаях «Безопасная установка ПРИЛОЖЕНИЯ ОС» дает полезный результат поиска в поисковой системе по вашему выбору.
Наряду с принудительным переключением SSH на версию 2 не забудьте отключить вход в систему с правами root и, желательно, отключить вход по паролю и принудительную аутентификацию на основе ключа. Кроме того, это очень хорошая идея - изменить порт по умолчанию для SSH.
Для брандмауэра обязательно установите для каждого из них правило по умолчанию «Запретить», а затем разрешите правила принимать.
Мы также используем DenyHosts для блокировки компьютеров, которые являются известными злоумышленниками или которые не выполняют слишком много попыток входа в систему.
Если вы не можете понять, как настроить apache, тогда вы не должны отвечать за принятие решений по безопасности.