Serviço para endurecer um servidor Ubuntu [fechado]

Reconhecendo que proteger um servidor não é um trabalho fácil e único, é algo que eu gostaria que mais proprietários de servidores da Web fizessem, parabéns para você.

Embora não seja um trabalho simples e fácil, não é um trabalho muito difícil se você tiver tempo de aprender sobre as ameaças atuais e o tempo para se manter a par de novas ameaças. Basta seguir as boas práticas aceitas (políticas de senha adequadas, cuidado com sua configuração SSH / Apache / < whatever >, manter-se atualizado com os patches de segurança, ter uma configuração de firewall razoável, ...) e manter-se atualizado data com notícias de segurança fará o truque.

Se você não tem tempo ou a inclinação para o acima (muitos não, e aqueles que não fazem, mas pensam que são uma ameaça para si e para o resto da rede!), então o outro opção é empregar um serviço de gerenciamento de servidores. Você os encontrará anunciando, e sendo discutidos, em lugares voltados para a web / outras soluções de hospedagem, como os fóruns de webhostingtalk ( link ) e suas muitos parentes. Um bom plano de gerenciamento do servidor fará com que seu servidor seja inicialmente fortalecido e ele será monitorado, corrigido e ajustado conforme necessário. Mas você perderá algum nível de controle, pois terá de informá-los sobre as mudanças planejadas. Caso contrário, qualquer garantia que venha com o serviço será anulada (eles não garantirão seu trabalho se suas alterações subsequentes impacto sobre ele).

Eu não tenho recomendações específicas, infelizmente, como eu sou um homem de bricolage (ou pelo menos faça-o-dentro-da-empresa-talvez-com-um-pouco-fora-consulta) e não usei tais serviços, e eu estou supondo que a maioria dos cartazes em serverfault estará em uma posição similar. Uma coisa que eu posso dizer é que conseguir um serviço bom provavelmente não vai ser particularmente barato - se você pagar amendoim, você terá um macaco e não quer que as fezes sejam jogadas no seu servidor (s ). O mau gerenciamento de servidores terceirizados pode ser pior do que nenhum, pois lhe dará uma falsa sensação de segurança, sem oferecer nenhum benefício real.

Outra opção é ter seu servidor e aplicativos testados profissionalmente. Isto lhe dará um bom relatório detalhado de qualquer problema maior / medíocre / menor que exista, mas será caro, precisará ser repetido ocasionalmente, e eles só testarão (você terá que planejar e aplicar quaisquer alterações necessárias para resolver os pontos fracos encontrados).

Não sei ao certo como posso contatá-lo 'fora do local', mas para o propósito do tópico, aqui estão os princípios básicos:

1) Desative serviços desnecessários. O Ubuntu não é o meu ponto strong, mas acredito que os sistemas da Debian usam o 'rcconf' para desligar os serviços. Você também pode modificar os arquivos diretamente em /etc/rc.d. Você não quer executar nada que possa deixá-lo vulnerável ou exigir correção se você não precisar do serviço, por isso é mais fácil desligar

2) IPtables. Negue por padrão e abra serviços que você precisa, como SSH e WWW. Você também deve bloquear o tráfego IP de saída e colocar na lista de permissões os serviços de que precisa. No passado eu fui enraizada por um script PHP com pouca segurança que foi usada para fazer upload de um script que baixou uma carga mais potente de um servidor remoto. Se o tráfego de saída foi negado por padrão, isso poderia ter me salvado.

3) SSH, desligue logins de senha e use pares de chaves pública / privada em vez

4) Instale o logwatch e verifique seu sistema diariamente, isso permitirá que você localize se algo mudar

5) Registro remoto, se você tiver a oportunidade, faça o login em um host syslog remoto, desta forma você terá logs se o seu sistema estiver comprometido

6) Backups e plano de recuperação, embora não façam parte da segurança, é reconfortante saber que você pode recuperar seu sistema com um impacto mínimo.

Alguém mais quer contribuir?

se você gostaria de cuidar do seu próprio endurecimento - dê uma olhada aqui .

Linux com segurança atômica É uma solução de 99% para a maioria dos problemas, se você quiser tê-lo profissional instalado e mantido, por favor entre em contato comigo.