我一直在进行有关保护Linux Web服务器安全的“广泛”研究。除了所谓的“基本”(删除未使用的服务,强化ssh,iptables等)之外,包含反rootkit(Tripwire)和反病毒(ClamAV)是否明智?这些仅仅是对Web服务器的过大杀伤力吗?我知道这是一个非常模糊的问题,但我对其他人的观点很好奇。
我未来的环境:-ubuntu 10.04-fail2ban-nginx 0.8.x-php 5.3.x(suhosin,apc,memcached)-mongodb 1.6.x
可能的应用程序:-网络服务-带有用户上传内容的网络应用程序(图片,pdf等)-典型的网站(表单等)
如果您还有其他提示,请随时添加!
谢谢
Answers:
对于面向公众的服务器,我会说安装tripwire之类的东西并不过分。
ClamAV是另一回事。我会考虑设置这了,如果你的访客将被共享的文件上传到,并从网上下载,您的网站。PDF可能包含漏洞利用。
在面向公共服务器上,我有SSH不允许密码身份验证,仅允许公共密钥身份验证。如果只能从内部局域网使用SSH,则可以放宽此限制。
我将服务器尽可能放置在DMZ上,以使其无法与内部LAN上的任何其他计算机建立连接。
不,你走得还远远不够。
1)您需要一个像mod_security这样的Web应用程序防火墙,并确保将其配置为阻止攻击,而不只是记录攻击。
2)用phpsecinfo锁定php 。
3)锁定Web应用程序的MySQL帐户,确保您的应用程序没有FILE特权,这是迄今为止MySQL中最危险的特权。
4)防火墙关闭所有UDP和所有不需要的TCP。考虑对SSH 使用端口敲门。禁止失败不如尝试零失败。
您可能可以在Web服务器上安全地安装AIDE-添加和删除客户不会更改太多的配置文件,并且您可能很容易过滤掉正常的聊天记录。
但是许多Web服务器安全指南没有提到的是您应该在/ etc / fstab中的/ tmp分区上打开noexec。如果您向公众提供主机托管服务,那么很多人会在您不了解的情况下安装不安全的Web应用程序(并且自己不知道如何使其应用程序保持最新),并且您基本上是在永久性地消除这些错误。如果您确定攻击者唯一可以保存软件的位置是客户的主目录和/ tmp目录,那么如果攻击者无法使用/ tmp目录,那么就有可能向您显示攻击者所在的位置。他们不喜欢那样做。
这样做已经解决了我们网站托管服务器上的绝大多数安全问题。
“欢迎登机!在我们的新客机上,您可以享受餐厅,电影院,健身房,桑拿浴室和游泳池。现在请系紧安全带,我们的机长将设法使所有这些狗屎都空降。”
mod_security对您和服务器而言都是一个痛苦。它的资源非常匮乏,其规则需要认真维护,这将是一项永无止境的任务。不,它不能单独使用或与Nginx一起使用。如果您确实需要它,请设置一个单独的代理服务器(Apache,mod_proxy,mod_security)。它也可以作为DMZ使用,您的真实服务器可以完全与外界隔离,并且如果代理被破坏,则什么也没有。
如果作为守护程序运行,ClamAV也非常繁重。最好在非活动时间从Cron定期运行clamscan。
Tripwire太过猛烈了,恕我直言。但是能够找到rootkit的东西会很有用,因为有很多脚本(rkhunter,chkrootkit)。
我相信至少有90%的rootkits等通过从devs Windows机器上载到服务器。除了阻止开发人员永远不要使用Windows外,没有什么好方法可以阻止这种情况。大多数木马都在搜索FTP凭据,因此请不要使用FTP。