Livros / Guias para proteger um servidor [fechado]

13

Fechado . Esta questão é baseada em opiniões . No momento, não está aceitando respostas.

Deseja melhorar esta pergunta? Atualize a pergunta para que ela possa ser respondida com fatos e citações editando esta postagem .

Fechado há 5 anos .

Eu tenho uma ideia de site que quero criar e lançar, e estou pensando em conseguir um pequeno VPS para hospedá-lo (eu gosto do Linode pelo preço, e eles parecem ser amplamente recomendados). Estou muito falido, então não posso pagar por um servidor gerenciado.

Eu baixei o Ubuntu Lucid Server e o execute em um VirtualBox, para me ajudar a aprender e agir como uma aproximação ao eventual servidor de produção. Estou comprometido com o aprendizado, mas tenho muito medo de perder algo idiota e ficar comprometido. Como tal, eu gostaria de saber de bons guias / livros que explicam os principais pontos de segurança de um servidor LAMP.

Eu trabalhei com o básico nos respectivos tutoriais do Linode e Slicehost, mas quero estar o mais preparado possível. O site ainda não foi escrito e é provável que eu implante em um host compartilhado primeiro como uma avaliação, por isso tenho tempo para aprender pelo menos o básico.

Sei que, para manter tudo atualizado, configure o iptables para permitir apenas os buracos necessários (que parecem apenas as portas TCP 22, para ssh / scp / sftp - vou mudar da porta padrão para a segurança (muito menor) através do bônus de obscuridade - e 80 para http) - embora eu esteja confuso com alguns tutoriais que dizem bloquear o ICMP, pois não sei por que não gostaria de responder ao ping - e para instalar apenas o software, preciso / remova o software que não uso. não precisa.

security

— AgentConundrum
fonte

1

Pessoalmente, acho que essa pergunta pertence à falha do servidor. o AMP no LAMP deve ser offtopic aqui, IMO.

— Xenoterracide

@xenoterracide: É justo, embora eu realmente não estivesse procurando ajuda com os bits AMP. Você notará que o título da pergunta não menciona especificamente o LAMP - perguntei sobre a segurança de um servidor em geral, o que me pareceu bastante tópico. Mencionei toda a pilha na pergunta, mas a adicionei mais como contexto do que qualquer outra coisa. Meu problema real é que sou iniciante no Linux e pensei que o Linux SE tivesse a experiência certa para ajudar. BTW, eu perguntei isso anteriormente no SF, mas achei que chamaria mais atenção aqui e achei que seria bom ter informações de segurança aqui.

— AgentConundrum

bem ... meu problema é como você disse que é uma pergunta sobre segurança do servidor em geral. Mas não é realmente o meu lugar para decidir o que é Ontopic aqui.

— Xenoterracide

IMHO Use o Debian em vez do Ubuntu, execute o Nginx em vez do Apache. O resto parece bom. Não toque em um host compartilhado com uma pesquisa de barcaça.

— Alex Chamberlain

8

Leia o manual de segurança do Gentoo . A maior parte deve se aplicar a qualquer distribuição Linux.

— xenoterracida
fonte

6

Como você já está usando o Ubuntu, recomendo o Guia do servidor , que oferece uma visão geral básica de um conjunto comum de serviços padrão.

Veja também o Linux Server Security da O'Reilly. Na verdade, basta pesquisar na Amazon algumas ofertas.

A lista de verificação de proteção do servidor do Google parece retornar algumas maneiras boas e práticas de descobrir rapidamente se algo está descaradamente errado com sua configuração.

Por fim, vá até a seção de segurança do serverfault e pergunte.

Editar: também, o ICMP deve ser bloqueado com base na mensagem. Consulte Filtragem de pacotes ICMP para obter detalhes.

— Pedro Silva
fonte

Eu vi o livro O'Reilly anteriormente (na mesma pesquisa que você mencionou), mas fiquei um pouco adiado até a data de publicação. Um livro de cinco anos ainda é realmente relevante hoje? Vou verificar o restante dos seus links também (bem, exceto que já fiz essa pergunta à SF há um tempo, então não há sentido em duplicar esse esforço). Muito obrigado.

— AgentConundrum

5

Leitura sugerida de (principalmente) fontes autorizadas e respeitáveis dos EUA:

Você também deve ler os avisos em letras miúdas nos manuais do sistema operacional.

— Deer Hunter
fonte

1

Apenas uma resposta parcial, mas escrevi um tutorial sobre IPtables que pode ser útil para você. http://www.ellipsix.net/geninfo/firewall/index.html

Além do IPtables, você precisará configurar o SSH e o Apache, mas esses vêm com configurações padrão que já são meio seguras; portanto, há apenas algumas coisas que você provavelmente precisará alterar. Obviamente, à medida que você adiciona mais recursos ao seu site, você terá que manter a configuração atualizada de acordo. Outra pessoa provavelmente pode recomendar boas referências para isso.

De fato, criarei este wiki da comunidade para que, se alguém quiser adicionar links, eles possam fazê-lo.

— David Z
fonte

Obrigado, vou verificar o seu site. Eu não percebi que o Apache, ou especialmente o SSH, dado o que o S significa, era inseguro fora da caixa. Espero que alguém possa vir com um guia para eles, se você não tiver nenhum. Obrigado novamente!

— AgentConundrum

Bem, o "Seguro" no SSH significa apenas que ele envia seus dados em forma criptografada, para que as pessoas não possam bisbilhotar uma conexão existente. Mas criar uma configuração SSH segura é mais importante para garantir que ninguém possa se conectar em primeiro lugar, a menos que esteja realmente autorizado a fazê-lo. A criptografia não protege contra isso.

— David Z