Web服务器安全性过大?


9

我一直在进行有关保护Linux Web服务器安全的“广泛”研究。除了所谓的“基本”(删除未使用的服务,强化ssh,iptables等)之外,包含反rootkit(Tripwire)和反病毒(ClamAV)是否明智?这些仅仅是对Web服务器的过大杀伤力吗?我知道这是一个非常模糊的问题,但我对其他人的观点很好奇。

我未来的环境:-ubuntu 10.04-fail2ban-nginx 0.8.x-php 5.3.x(suhosin,apc,memcached)-mongodb 1.6.x

可能的应用程序:-网络服务-带有用户上传内容的网络应用程序(图片,pdf等)-典型的网站(表单等)

如果您还有其他提示,请随时添加!

谢谢

Answers:


8

对于面向公众的服务器,我会说安装tripwire之类的东西并不过分。

ClamAV是另一回事。我会考虑设置这了,如果你的访客将被共享的文件上传到,并从网上下载,您的网站。PDF可能包含漏洞利用。

在面向公共服务器上,我有SSH不允许密码身份验证,仅允许公共密钥身份验证。如果只能从内部局域网使用SSH,则可以放宽此限制。

我将服务器尽可能放置在DMZ上,以使其无法与内部LAN上的任何其他计算机建立连接。


2
不要忘记LMD(Linux恶意软件检测),rfxn.com / projects / linux - malware - detect-它将扫描感染Web应用程序的恶意软件种类(HTML,PHP,JavaScript文件更改),以便将您的网站用于SEO垃圾邮件,网络钓鱼,访问者的PC感染等
RichVel 2012年

3

不,你走得还远远不够。

1)您需要一个像mod_security这样的Web应用程序防火墙,并确保将其配置为阻止攻击,而不只是记录攻击。

2)用phpsecinfo锁定php 。

3)锁定Web应用程序的MySQL帐户,确保您的应用程序没有FILE特权,这是迄今为止MySQL中最危险的特权。

4)防火墙关闭所有UDP和所有不需要的TCP。考虑对SSH 使用端口敲门。禁止失败不如尝试失败。


1)我的印象是ModSecurity只能与Apache打包在一起(我正在使用nginx)。但是显然它可以独立运行吗?我将不得不研究此感谢!我关注了 calomel.org/nginx.html的一些功能。
亚伦

4)我使用iptables阻止所有传入和传出流量,除非它是我的ssh端口,https或https(传入,传出)。我会继续前进。但是,对于ssh,端口敲门是一个有趣的功能!再次感谢!。
亚伦

@Aaron我不确定为什么要使用Nginx。您可以将apache + mod_security用作您需要使用的任何奇怪且无特征的httpd的代理。
Rook

2

您可能可以在Web服务器上安全地安装AIDE-添加和删​​除客户不会更改太多的配置文件,并且您可能很容易过滤掉正常的聊天记录。

但是许多Web服务器安全指南没有提到的是您应该在/ etc / fstab中的/ tmp分区上打开noexec。如果您向公众提供主机托管服务,那么很多人会在您不了解的情况下安装不安全的Web应用程序(并且自己不知道如何使其应用程序保持最新),并且您基本上是在永久性地消除这些错误。如果您确定攻击者唯一可以保存软件的位置是客户的主目录和/ tmp目录,那么如果攻击者无法使用/ tmp目录,那么就有可能向您显示攻击者所在的位置。他们不喜欢那样做。

这样做已经解决了我们网站托管服务器上的绝大多数安全问题。


2

“欢迎登机!在我们的新客机上,您可以享受餐厅,电影院,健身房,桑拿浴室和游泳池。现在请系紧安全带,我们的机长将设法使所有这些狗屎都空降。”

  1. mod_security对您和服务器而言都是一个痛苦。它的资源非常匮乏,其规则需要认真维护,这将是一项永无止境的任务。不,它不能单独使用或与Nginx一起使用。如果您确实需要它,请设置一个单独的代理服务器(Apache,mod_proxy,mod_security)。它也可以作为DMZ使用,您的真实服务器可以完全与外界隔离,并且如果代理被破坏,则什么也没有。

  2. 如果作为守护程序运行,ClamAV也非常繁重。最好在非活动时间从Cron定期运行clamscan。

  3. Tripwire太过猛烈了,恕我直言。但是能够找到rootkit的东西会很有用,因为有很多脚本(rkhunter,chkrootkit)。

  4. 我相信至少有90%的rootkits等通过从devs Windows机器上载到服务器。除了阻止开发人员永远不要使用Windows外,没有什么好方法可以阻止这种情况。大多数木马都在搜索FTP凭据,因此请不要使用FTP。


贴心的提示...考虑到我无意采用apache路线,因此我会坚持我能为nginx找到的任何安全方面。我可能最终也会采取clamscan / rkhunter路线。感谢您的提示!
亚伦

0

在流行的CMS引擎(Wordpress,Jomlaa,Drupal)中使用验证码表单保护是否被视为安全实践?如果是,则可以使用以下命令:


反垃圾邮件保护 ?是。但是在这里,作者希望锁定其服务器以防止未经授权的用户,这与验证码无关。
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.