Sách / Hướng dẫn bảo mật máy chủ [đã đóng]

13

Đóng cửa . Câu hỏi này dựa trên ý kiến . Nó hiện không chấp nhận câu trả lời.

Bạn muốn cải thiện câu hỏi này? Cập nhật câu hỏi để có thể trả lời bằng sự kiện và trích dẫn bằng cách chỉnh sửa bài đăng này .

Đóng cửa 5 năm trước .

Tôi có một ý tưởng trang web tôi muốn xây dựng và khởi chạy và tôi đang nghĩ đến việc có một VPS nhỏ để lưu trữ nó (tôi thích Linode với giá của chúng và chúng dường như được khuyến nghị rộng rãi). Tôi khá thất vọng vì vậy tôi không thể đủ khả năng cho một máy chủ được quản lý.

Tôi đã tải xuống Ubuntu Lucid Server và chạy nó trong VirtualBox, để giúp tôi tìm hiểu và hoạt động như một xấp xỉ gần đúng với máy chủ sản xuất cuối cùng. Tôi cam kết học hỏi, nhưng tôi khá sợ mình sẽ bỏ lỡ điều gì đó ngớ ngẩn và bị xâm phạm. Như vậy, tôi muốn biết về bất kỳ hướng dẫn / sách hay nào giải thích những điểm chính của việc bảo mật máy chủ LAMP.

Tôi đã làm việc thông qua các công cụ cơ bản trong hướng dẫn tương ứng của Linode và Slicehost, nhưng tôi muốn được chuẩn bị càng tốt. Trang web chưa được viết và tôi có khả năng triển khai đến một máy chủ được chia sẻ trước tiên dưới dạng chạy thử, vì vậy tôi có thời gian để tìm hiểu ít nhất những điều cơ bản.

Tôi biết để luôn cập nhật mọi thứ, định cấu hình iptables để chỉ cho phép các lỗ tôi cần (dường như chỉ là cổng TCP 22, cho ssh / scp / sftp - Tôi sẽ thay đổi nó từ cổng mặc định để bảo mật (rất nhỏ) thông qua phần thưởng tối nghĩa - và 80 cho http) - mặc dù tôi bị bối rối bởi một số hướng dẫn nói rằng chặn ICMP vì tôi không muốn trả lời ping - và chỉ cài đặt phần mềm tôi cần / xóa phần mềm tôi không không cần

security

— AgentConundrum
nguồn

1

Cá nhân tôi nghĩ rằng câu hỏi này thuộc về Server Fault. AMP trong LAMP nên không chính thức ở đây, IMO.

— xenoterracide

@xenoterracide: Đủ công bằng, mặc dù tôi không thực sự tìm kiếm sự giúp đỡ với các bit AMP. Bạn sẽ nhận thấy rằng tiêu đề câu hỏi không đề cập đến LAMP cụ thể - Tôi đã hỏi về việc bảo mật một máy chủ nói chung, có vẻ như khá chủ đề đối với tôi. Tôi đã đề cập đến toàn bộ ngăn xếp trong câu hỏi, nhưng tôi đã thêm nó dưới dạng bối cảnh hơn bất cứ điều gì khác. Vấn đề thực sự của tôi là tôi là người mới chơi Linux và tôi nghĩ Linux SE sẽ có chuyên môn phù hợp để giúp đỡ. BTW, tôi đã hỏi điều này trên SF trước đây, nhưng tôi nghĩ rằng nó sẽ được chú ý nhiều hơn ở đây, và tôi cho rằng thông tin bảo mật sẽ tốt khi có ở đây.

— AgentConundrum

tốt ... vấn đề của tôi giống như bạn nói đó là một câu hỏi về bảo mật máy chủ nói chung. Nhưng nó không thực sự là nơi để tôi quyết định những gì ở đây.

— xenoterracide

IMHO Sử dụng Debian thay vì Ubuntu, chạy Nginx thay vì Apache. Phần còn lại nghe có vẻ tốt. Đừng chạm vào một máy chủ được chia sẻ với một cuộc thăm dò sà lan.

— Alex Chamberlain

8

Đọc Cẩm nang bảo mật Gentoo . Hầu hết nên áp dụng cho bất kỳ bản phân phối Linux nào.

— xenoterracide
nguồn

6

Vì bạn đang sử dụng Ubuntu, tôi khuyên dùng Hướng dẫn máy chủ của họ , cung cấp tổng quan cơ bản về một bộ dịch vụ mặc định phổ biến.

Cũng có một cái nhìn về Linux Server Security từ O'Reilly. Trên thực tế, chỉ cần tìm kiếm trên Amazon cho một vài dịch vụ.

Danh sách kiểm tra cứng máy chủ của Google dường như trả về một số cách hay, thiết thực, nhanh chóng tìm ra liệu có gì đó không đúng với thiết lập của bạn hay không.

Cuối cùng, đi đến phần bảo mật của serverfault và hỏi đi.

Chỉnh sửa: đồng thời, ICMP nên bị chặn dựa trên tin nhắn. Xem Lọc gói ICMP để biết chi tiết.

— Pedro Silva
nguồn

Tôi đã thấy cuốn sách O'Reilly trước đó (thông qua cùng một tìm kiếm mà bạn đã đề cập), nhưng đã bị trì hoãn một chút trước ngày xuất bản. Là một cuốn sách năm tuổi thực sự vẫn còn liên quan đến ngày hôm nay? Tôi cũng sẽ kiểm tra phần còn lại của các liên kết của bạn (tốt, ngoại trừ việc tôi đã hỏi SF câu hỏi này một thời gian trước đây, vì vậy không có lý do nào để nhân đôi nỗ lực đó). Cảm ơn rất nhiều.

— AgentConundrum

5

Đề nghị đọc từ (hầu hết) các nguồn có thẩm quyền và có uy tín của Hoa Kỳ:

Bạn cũng nên đọc các cảnh báo bằng chữ in trong hướng dẫn sử dụng hệ điều hành của bạn.

— Thợ săn nai
nguồn

1

Chỉ có một câu trả lời một phần, nhưng tôi đã viết một hướng dẫn IPtables có thể giúp ích cho bạn. http://www.ellipsix.net/geninfo/firewall/index.html

Bên cạnh IPtables, bạn sẽ cần định cấu hình SSH và Apache, nhưng chúng có cấu hình mặc định đã được bảo mật, do đó, chỉ có một vài điều bạn có thể phải thay đổi. Tất nhiên, khi bạn thêm nhiều tính năng hơn vào trang web của mình, bạn sẽ phải cập nhật cấu hình tương ứng. Ai đó khác có thể có thể đề nghị tài liệu tham khảo tốt cho điều đó.

Trên thực tế, tôi sẽ tạo wiki cộng đồng này để nếu bất kỳ ai khác cảm thấy muốn thêm liên kết, họ có thể làm như vậy.

— David Z
nguồn

Cảm ơn, tôi sẽ kiểm tra trang web của bạn. Tôi đã không nhận ra rằng Apache, hay đặc biệt là SSH đưa ra những gì chữ S đại diện, không an toàn. Hy vọng rằng ai đó khác có thể đi cùng với một hướng dẫn cho họ, nếu bạn không có. Cảm ơn một lần nữa!

— AgentConundrum

Chà, "Bảo mật" trong SSH chỉ có nghĩa là nó gửi dữ liệu của bạn ở dạng được mã hóa, để mọi người không thể rình mò kết nối hiện có. Nhưng việc tạo một cấu hình SSH an toàn là về việc đảm bảo rằng không ai có thể kết nối ở nơi đầu tiên trừ khi họ thực sự được ủy quyền để làm như vậy. Mã hóa không bảo vệ chống lại điều đó.

— David Z