n00bie Linode VPS - estou razoavelmente seguro? Como auditar?

2

Total n00bie do Linux - primeira configuração do VPS (Linode.com).

Eu passei um mês pesquisando e tentando configurações. Depois de alguns despejos e reinstalações, eu finalmente tenho um servidor funcionando (há algumas semanas). Eu adoraria algum feedback sobre minhas medidas de segurança dos especialistas.

+++++++++++++++++++++++++++++++++++++++++++++++ +++++++++++++++++++

Configuração: ambiente típico do Ubuntu 10.04 LAMP

Console: webmin (porta 10000)

mail: postfix (porta 25)

medidas de segurança:

(seguindo link )

ssh via chaves públicas / privadas (putty em uma máquina win7)

PasswordAuthentication no PermintRootLogin no

UFW

  • ufw default deny incoming
  • ufw default allow outgoing
  • ufw allow 80/tcp (http)
  • ufw allow 443/tcp (ssl)
  • ufw allow XXX/tcp (ssh custom port)
  • ufw allow 25 (mail server)
  • ufw allow 10000 (webmin)
  • ufw deny 22 (ssh default)
  • ufw deny 3306/tcp (mysql)
  • ufw enable

instalar o fail2ban - não permitir ataques de força bruta

não permite o roteamento de origem dos pacotes recebidos

sudo sysctl -w net.ipv4.conf.all.accept_source_route=0 
sudo sysctl ­-w net.ipv4.conf.default.accept_source_route=0

instale o tigre - scanner de segurança

instalar o psad - detecção de intrusão

instale o nmap - port scanning

instale o chkrootkit - presença do kit de raiz

instalar o logwatch

UPKEEP

regular (uma ou duas vezes por semana)

apt-get update / upgrade
execute psad, nmap, chkrootkit, logwatch, tiger

+++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++

Ok ... então, como eu disse, sou um completo com o linux, mas estive envolvido em tecnologias da web por muitos anos (incluindo muitas instalações e configurações locais do WAMP / XAMPP). Seguindo as entradas básicas do livro de receitas do Linode, ter um servidor instalado e funcionando não foi muito difícil, mas eu me senti muito bem quando se tratava do aspecto de segurança das coisas (o que está dizendo muito, como eu lido em tecnologia complexa) . Inferno - se você é um profissional com essas coisas - adere a você. É difícil.

Depois que resolvi todas as entradas do servidor virtual / dns, consegui configurar algumas instalações de sites padrão (drupal, wordpress) e elas estão funcionando conforme o esperado há várias semanas.

Eu posso ver claramente nas entradas da psad que o UFW está fazendo seu trabalho - enviando milhares de scans de portas, e eu ainda tenho que transformar qualquer coisa séria em tigre. Tho - lendo o relatório de segurança do tigre, há muitos avisos sobre as configurações do sistema que eu realmente não tenho certeza se devo tomar medidas para corrigir. Então, há a questão # 1. Por exemplo - recebo avisos de que minhas senhas não estão adequadamente divididas. Isso é um problema se eu tiver a autenticação por senha desativada?

Isso tudo sendo dito - Quão confiante posso estar nessa configuração de servidor? Existe um sistema ou serviço que eu possa usar para auditar minhas configurações ou para fazer uma verificação automática do sistema? (Algo como você pode verificar um site em busca de malware com as ferramentas da web do google.) Eu gostaria de migrar todos os meus sites da hospedagem compartilhada para esse servidor, mas não quero fazê-lo prematuramente ...

Qualquer comentário seria muito apreciado. Eu percebo completamente que esta pergunta é bastante comum, mas eu sinto que fiz a minha devida diligência - eu gostaria apenas de uma orientação dos profissionais sobre isso antes de cometer.

    
por Bosworth99 27.01.2012 / 19:44

2 respostas

4

Parece que você está no caminho certo. Se você acabar ficando comprometido, é mais provável que isso aconteça por meio de vulnerabilidades em seu aplicativo (você mencionou o Wordpress e o Drupal). Para mitigar esses riscos, você precisa manter-se informado sobre quaisquer anúncios de vulnerabilidade para esses produtos (incluindo quaisquer plug-ins / módulos instalados) e instalar os patches assim que possível.

Além disso, configure um sistema de backup à prova de balas para o servidor e faça restaurações de teste regularmente. Se você ficar comprometido, precisará fazer uma reinstalação completa do servidor e dos dados. Se você tem um bom sistema de backup, esse processo é muito menos doloroso.

    
por 27.01.2012 / 19:57
4

Se você não estiver executando um servidor de mensagens real no VPS (como em, você está RECEBENDO mensagens enviadas por pessoas ou máquinas), não é necessário nem deve abrir a porta 25 de entrada. O serviço de correio será o alvo mais interessante para uso indevido. E você deve melhor "PermitRootLogin sem senha" (leia a manpage, essa opção faz o oposto do que parece!).

Algumas das outras medidas (o heap em cada ferramenta de segurança disponível :) pode não ser RUIM, e pode até ser a melhor coisa a fazer no começo, mas na verdade fará com que o projeto tenha alta manutenção. O modo "Zen" é "se você não quiser, precisar ou entender, então não o instale ou execute". Execute "netstat -apn" e observe a primeira lista. Qualquer coisa que não precise estar lá (que geralmente inclui a ligação ipv6 de alguns daemons do servidor) em tudo que você desabilitar, qualquer coisa que possa ser ligada ao localhost somente se liga ao host local somente.

Se você está bem informado sobre a operação geral do linux, encontre -perm 4000 -o -perm 2000 e analise por que esses programas precisam ser setuid / setgid e, especialmente, se eles precisam ser para seus propósitos (por exemplo, se a única pessoa alterar uma senha de usuário no sistema é raiz ou equivalente na raiz, o binário do alterador de senha não precisa de setuid.). BTW, a maneira correta de alterar perms em arquivos gerenciados por pacotes no debian / ubuntu é dpkg-statoverride, não chmod stuff ou atualizações podem alterá-lo de volta inesperadamente.

    
por 19.05.2012 / 23:18