Назад | Перейти на главную страницу

моя первая «производственная» конфигурация сервера Debian

Я использую Debian в течение года, в основном как дистрибутив для моего внутреннего сервера компании. Сейчас я создаю общедоступный веб-сайт электронной коммерции и планирую использовать для этой цели выделенный сервер Debian в центре обработки данных. Я буду принимать к оплате кредитные карты и напрямую передавать их в банковский шлюз, не сохраняя никакой информации CC.

Я буду использовать Django 1.1.1, mod_wsgi, Apache2 для запуска django и nginx для обслуживания статических носителей.

Как вы думаете, это хорошая установка?
Какие меры безопасности вы бы предложили в названии конфигурации сервера? Будем признательны за любые предложения, ссылки на передовой опыт и руководства :)

Обновления, обновления, обновления.

Вы используете стабильный или тестируемый Debian? Иногда поддерживать тестирование в актуальном состоянии немного сложнее, чем стабильно.
Вы все запускаете как пакеты Debian?

Убедитесь, что у вас не запущены посторонние службы. Запустите netstat -nap и проверьте все процессы, которые прослушивают порты, убедитесь, что там нет ничего, что не является строго необходимым. То, что может слушать только по шлейфу, должно это делать.

Все общедоступные непубличные материалы должны быть защищены надежными паролями или более строгими мерами (ssh-ключи и т. Д.).

Если можете, было бы неплохо принять меры против DoS. Может быть полезно сдерживать злые запросы.

Я установил на свои производственные серверы Debian несколько вещей:

logwatch (apt-get install logwatch) - каждый день отправляет вам электронное письмо со сводкой журналов, созданных вашим сервером вчера. Хороший способ обнаружить потенциальные проблемы
apticron (apt-get install apticron) - отправляет вам электронное письмо, когда доступны более новые версии установленных пакетов, например исправить дыры в безопасности

Учитывая чувствительность данных, проходящих через сервер, я бы ограничил вход по SSH только на основе ключей (без паролей), поскольку это значительно затрудняет случайный взлом учетных записей. Независимо от того, делаете вы это или нет, корневой SSH - это плохо, опасно и неверно, и его следует отключить или ограничить несколькими доверенными IP-адресами.

Убедитесь, что вы подписаны на debian-security-announce@lists.debian.org

Подумайте о запуске rootkithunter, chkrootkit и integrit, доступных через apt-get install, чтобы убедиться, что на ваш сервер не попало ничего неприятного.

Убедитесь, что конфиденциальные части вашего веб-сайта (все, что принимает номера кредитных карт, пароли и т. Д., Особенно интерфейс администратора django) доступны только через HTTPS (SSL) соединения, а не по обычному HTTP.

Если вы параноик / серьезно относитесь к безопасности, попросите хостинг-провайдера прочитать вам отпечатки ключей SSH сервера по телефону или отправьте их вам в зашифрованном электронном письме, чтобы вы могли проверить при первом подключении к машина, на которую вы не нападаете (или входите в нее в первый раз, когда сидите перед ней физически, если это возможно).