Стоял у меня сайт на винде.. всё было норм. Вот немного расширяюсь, поставил новую машинку на хостинг, сделал вебсервер для своих проектов. Линукс мне настраивали (всмысле это делал не я). Я только Поставил PHP к Apache.

Машина:
Linux Ununtu Server 7.4
Apache 2.2
PHP 5.2.1
MySQL 5

Хочется убедится в безопастности сервера.
Вопрос: Что мне следует проверить (самое главное), что бы убедиться в безопастности сервера.   

1. У нас есть прикреплённая тема, где ты можешь найти полезный материал: http://forum.vingrad.ru/forum/topic-130154...linux-unix.html
2. Пароли должны быть такими, чтоб их было тяжело взломать (не подобрать). Попробуй программой John The Riper вскрыть свой /etc/shadow
После этого удали эту программу! Опасно держать её у себя на компе.
3. Отключи ненужных демонов.
4. Грамотно настрой iptables. Чтоб ничто никуда не могло пролезть.
5. Регулярно обновляй дистр. Не забудь, что security репозитории должны быть включены.

Это лишь малый список. Режим "medium"

Можно ещё SELinux использовать (или App Armor сусевцев).

Тогда проверку будет сделать сложновато. Обязательно почитайте багтраки на сайтах апача, пхп и убунту. Также стоит уделить особое внимание вопросам безопасности содержимого - тут самые частые проколы случаются. Апач за стеной, весь такой новороченный, даже пхп весь из себя обезопасен, а в коде какая-нибудь мелочь - и всё.

Спасибо огромное! Буду рыться...


Например?   я не знаю какие нужные а какие нет...

Я не кинул список демонов активных потому, что уже чтото намутили с сервером (на хостинге сказали сервер работает, не повис, но даже на пинг не отзывается)... iptables там вобще как такового небыло... сегодня утром ставить буду его.. Я думаю для веб сервера вполне хватает входящих 2 порта - TCP 80 (apache), TCP 21 (ssh/ftp) верно?

Добавлено @ 04:01

Apache, PHP я настроил сам и уверен в правильности настроек. Ну а пхп код всегда был не безопасным... но я забочусь о безопасности скриптов в первую очередь... Можно даже сказать мания    Было пару горьких опытов...

Это сообщение отредактировал(а) Beos - 30.8.2007, 04:04

дорогуша, вам срочно нужно в ленинскую библиотеку.
читать о линукс администрации. побыстрее.
порт ssh - 22.

кроме того вы не объяснили что за сервер это.
в некоторых случаях имеет смысл иметь сервер на https ( т.е. порт 443 ),зашифрованный при помощи SSL.
в других случаях стоит настроить для каждого пользователя "сертификат пользователя".
тогда с сервером можно будет удачно подключиться ТОЛЬКО при наличии правильного сертификата.


насчет локального сетевого фильтра  ( iptables, как интерфейс к netfilter ) - нередко у провайдера в наличии намного более серьезный инструмент, поинтересуйся каким образом провайдер может тебя защитить. локальный фаервол конечно создает неплохую защиту, но при серьезной нагрузке - добавляет ненужный напряг на сервер.

и еще. 
самое главное в "безопасности" сервера - это определиться, что же для вас значит "безопасность сервера", определить наибольшую важность разным аспектам, и соответственно настроить систему.

например, если у вас информативный сайт, без личных данных о пользователях, то вам достаточно регулярно резервировать сервер, чтобы в случае злых взломщиков пытающихся изменить данные - их восстановить.

кроме того насколько вам сама работоспособность сервера нужна ? сколько времени без сервиса вы можете себе позволить ?
это определит уровень доступности, т.е. сколько реальных серверов ( возможно виртуальных, но  на РАЗНЫХ машинах ) будет скрываться под load-balancer-ом.

в общем удачи конечно, но если сайт коммерческих, рекомендую вам найти профессионального консультанта, заплатить ему денег и быть спокойным.

удачи.

sorry ;) c ssh я попутал.


Я знаю что такое https, мне не нужна такая зашита + мне очень важно быстродействие сервера.


Я уже поинтересовался насчет этого... они сказали что такого не делают, только дают интернет.


Для меня самое главное это зашита кода сайтов и базы данных. На каждый сайт - свой юзверь (только он и юзверь под которым работает апач имеет право на чтение). Базы сохраняются примерно раз в 3 суток (скоро я автоматизирую это, покрайней мере я уже придумал как это сделать). Ах да .. ещё сам сервер держится на RAID1 (2x SATA2 320Gb).


Сервер может без особого ущерба простоять днём 2-2.5 часа.


Хмм.. у меня в стране с этим туго. Одня такая консультация обойдется мне примерно 40$ - мне расскажут как включать компьютер (или чтото типо того). Что бы получить нормальную консультацию прийдётся заплатить около 100$. В доллары перевёл чтоб вам было понятней.

не знаю, кто вам писал "код сайтов" и связь с бд, но это дело очень нетривиально тестировать.
постарайтесь, чтобы ВЕСЬ ввод в скрипты проверялся.
сделайте тесты на SQL injection, запускайте бд на 127.0.0.1 и т.д.
есть всякие автоматические проверялки QA сайтов на предмет известных граблей.
гугл конечно друг, но можно и эту ссылку проштудировать:
http://www.softwareqatest.com/qatweb1.html#SECURITY

только обращайте внимание на даты посл. редактирования: если слишком старо не убивайте время.

можете попробовать емайл - поддержку.

Добавлено через 4 минуты и 4 секунды
еще настройте лог димона правильно, чтобы он вам всё что нужно писАл в дневник.
настройте удаленный loghost, чтобы если сервер вскроют, по логам можно было бы анализировать, издалека.

Весь пхп писал я. Уже проверено по 100 раз после написания. АБСОЛЮТНО весь ввод фильтруется.


Пасибо! Обязательно постараюсь проверить всеми способами.

Это сообщение отредактировал(а) Beos - 31.8.2007, 06:25