Administração do servidor com webadmin [closed]

Question

Administração do servidor com webadmin [closed]

#1 resposta do (3 votos)
#2 resposta do (0 votos)

2

Recentemente, foi lançado um site de ecommerence que também armazena detalhes de cartão de crédito e tal. Nossa segurança está bem no lado do software, mas com relação ao sistema operacional inteiro, nós ficamos fracos e estamos olhando para a nossa estação. Me deparei com uma ferramenta chamada webmin que ajuda você a configurar sua caixa linux. Quão boa é essa ferramenta e vocês recomendam essa ferramenta para proteger um site? Por exemplo, vi que a ferramenta permite que você jogue com o IPTables.

Esta é uma boa ferramenta para proteger adequadamente um site contra ataques. Nós também asseguramos que o MySQL é seguro seguindo este tutorial link

security

por Faisal Abid 25.02.2010 / 20:25

2 respostas

0

Você já auditou SQL Injection, XSS, CSRF, manipulação de CRLF, buffer overflows, format string attacks ....

O ponto é, você provavelmente não protegeu seu sistema, e é improvável que você possa sem um consultor de segurança.

Economize o trabalho, deixe o processador CC lidar com isso.

Quanto à questão atual, o Webmin não é uma boa ferramenta para proteger seu site. Eu sempre recomendo GreenSQL com Grsec / SELinux patch para webservers e uma revisão do uso de stripslashes () ou uma função similar em qualquer conteúdo disponível pelo usuário (que é surpreendentemente pequeno no Magento).

Naquela nota, o Magento tem um registro de segurança razoavelmente bom, tendo dito isso, eu só confiaria em qualquer outra pessoa tanto quanto eu pudesse lançá-los e extensões feitas pelo usuário SEMPRE o abririam para novas vulnerabilidades que não são auditadas quase tão completamente quanto a base de código original.

O componente problemático da segurança do website em seu cenário particular é que o jogo termina quando qualquer usuário é comprometido (presumivelmente você estará executando o apache / nginx como nobody ). Isso significa que a prisão () não pode salvá-lo agora, então você precisa ser mais diligente com a sua configuração - Você será atacado, principalmente por chineses e russos, mas ocasionalmente você obterá um blackhat real se estiver processando cartões suficientes.

por 25.02.2010 / 21:38

Tags security

O Windows restaura automaticamente a conexão de rede flakey Estou debatendo entre o host compartilhado e o VPS

score 3 · Accepted Answer

O Webmin é uma boa ferramenta, mas também é outra possível brecha de segurança ... Certifique-se de bloqueá-lo para que possa ser acessado somente por hosts confiáveis.

É basicamente um front-end gráfico para uma tonelada de coisas de linha de comando. Ele não pode fazer nada que você não pode fazer em uma linha de comando, mas faz algumas dessas coisas um pouco mais amigáveis ... Então, se você já sabe como proteger uma caixa, vai ajudar.

Se você não sabe, no entanto, não vai mudar nada.

Meu conselho é, a menos que seja absolutamente necessário, NÃO armazenar os detalhes do cartão de crédito. Armazene os últimos quatro dígitos para verificação e passe o restante para o seu fornecedor de serviços e deixe que eles suportem o fardo.

Quando você entra no mundo das máquinas de manuseio de cartão de crédito, precisa entender que precisa manter-se sempre em cima dessa máquina , pois toda nova vulnerabilidade será tentada em algum momento .