Назад | Перейти на главную страницу

Блокировка ящика в Интернете

Я разработчик, который хочет разместить новую услугу в Интернете. Я новичок в администрировании систем и, честно говоря, немного заблудился в том, с чего мне следует начать размещать что-то в сети.

Мое приложение отлично работает на моем компьютере, и я уверен, что смогу заставить его работать на любой коробке, на которую я его поставлю. Но безопасность этого ящика очень важна.

Что мне нужно знать, чтобы предотвратить разрушение моего сервиса в клочья? Ссылки на солидные ресурсы мне нравятся! Я согласен с неконкретным ответом. Я хотел бы даже начать.

Если я подписываюсь на стандартный пакет хостинга (скажем, от GoDaddy или что-то в этом роде), могу ли я просто сказать им «открыть порт 12345 для связи» и позволить им обработать остальные детали безопасности?

Спасибо!

Я не уверен, что предлагают большинство поставщиков, лично я думаю, что для вас было бы неплохо проверить все, даже если они делают часть работы за вас. Вот общий ответ, который вы, возможно, сможете использовать в качестве контрольного списка. Он охватывает большинство основных тем, которые вы найдете почти во всех стандартных справочниках по безопасности.

Также помните, что, хотя защита ОС / платформы важна, большинство проблем с безопасностью фактически возникает на уровне приложения в службе, которую вы будете раскрывать. это Статья SANS предполагает, что по крайней мере 60% инцидентов являются результатом взлома службы, подключенной к Интернету. Поэтому для вас очень важно убедиться, что проблема не в вашем приложении.

Контрольный список безопасности

Изменить настройки по умолчанию

  • Изменить пароли
  • Изменить порты для любых интерфейсов удаленного администрирования
  • Измените любые общеизвестные имена пользователей в системах, поддерживающих переименование.

Удалите все ненужные услуги и пакеты

  • Узнайте, что работает, и отключите и / или удалите все, что вам не нужно.
    • Некоторые серверы будут поставляться с включенными веб-интерфейсами администратора. Отключите их или, по крайней мере, убедитесь, что они доступны только вам.

Включите брандмауэр на основе хоста

  • Вы также можете быть защищены сетевым брандмауэром, но безопасность должна быть многоуровневой. Установите брандмауэр на хосте и ограничьте доступ только тем, что требуется.
  • Используйте набор правил запрета по умолчанию. Ваш брандмауэр должен блокировать все и разрешать только тот трафик, который, как вы точно знаете, является хорошим.

Настройте любые инструменты обнаружения и предотвращения вторжений

  • Если в вашей системе работает SSH, попробуйте настроить что-то вроде denyhosts или fail2ban.
  • Установите ограничение скорости в вашем брандмауэре, чтобы атаки по словарю / грубой силы были невозможны.

Настройте систему для контроля вашей доступности

  • Вы хотите получать уведомления, когда что-то ломается. Настройте удаленный монитор или подпишитесь на службу, которая будет следить за вас.

Настройте систему так, чтобы все журналы и ошибки доходили до вас

  • Отправка любых данных системного журнала или журнала событий на удаленный сайт. Или, по крайней мере, настройте что-то вроде logcheck, чтобы необычное поведение приводило к отправке уведомления.

Придумайте план того, как вы будете обновлять систему

  • Безопасность - это не то, что можно сделать, а потом забыть. Вам нужно что-то обновлять. Вероятно, у вас должен быть сервер разработки / тестирования (виртуальная машина?), Который дублирует вашу производственную среду, чтобы вы могли тестировать обновления, а затем планировать, когда и как вы будете обновлять производственный блок.

Настройте систему резервного копирования, чтобы вы могли восстановить в худшем случае

  • Произойдут сбои и компрометация системы. Создание хорошей резервной копии - это то, что вы будете использовать как для определения того, что вы были скомпрометированы, так и для восстановления системы, если вы это сделали.

Узнайте у своего интернет-провайдера, что произойдет, если вы подвергнетесь DoS-атаке, и что они могут сделать, чтобы помочь в худшем случае.

  • Не всякое деструктивное поведение приводит к компрометации вашего компьютера. Ваш сервис может быть удален офлайн. Выясните, сможет ли ваш интернет-провайдер помочь вам и как вы сможете получить помощь, когда это произойдет.

При необходимости настройте шифрование

  • Настройте SSL / TLS для передачи любых PII.
  • Убедитесь, что все приложения хранят PII надежно.