Назад | Перейти на главную страницу

Как правильно защитить сервер Unicorn / RoR на ubuntu? Или укрепить стек приложений RoR?

У меня несколько серверов Unicorn, работающих на Ubuntu 12.04, и я хочу защитить их от эксплойтов, которые предоставляют удаленную оболочку.

Меня больше всего беспокоит, имеет ли смысл развертывать ModSecurity?

Другое дело, что я видел, как Unicorn обычно запускается с порта 8080 и перенаправляется на порт 80 сервера Apache / NginX, который служит обратным прокси.

Я думал, что могу использовать следующее:

ModSecurity на Apache
Apache как рабочий (многопоточный) с mod_qos, чтобы предотвратить чрезмерное количество запросов от любого хоста
Запустите сервер unicorn от указанного пользователя и изолируйте его через AppArmor или SELinux, если это Redhat / Centos.

Я хотел бы знать, есть ли еще одна укрепляющая структура / патч для RoR, например PHP Suhosin.

Я бы начал с Руководство по безопасности Ruby On Rails.

Я хочу защитить их от эксплойтов, которые предоставляют удаленную оболочку.

Обратите внимание на Загрузка файлов раздел.

Убедитесь, что загружаемые файлы не перезаписывают важные файлы
Проверить имя файла
Используйте плагины: attachment_fu или скрепка
Никогда не разрешать пользователям загружать: .php, .cgi, ...
Установите соответствующий HTTP-заголовок Centent-Type
Разместите загрузку файлов за пределами /public каталог

Вы также можете просканировать свой код Rails на наличие уязвимостей, используя Тормозщик:

gem list -d brakeman

*** LOCAL GEMS ***

brakeman (1.8.0)
    Author: Justin Collins
    Homepage: http://brakemanscanner.org
    Installed at: /usr/lib/ruby/gems/1.8

    Security vulnerability scanner for Ruby on Rails.