UNIX-Security Advise

Navegue suas respostas
1

Eu quero construir um servidor UNIX bastante seguro. Mecanismos que já implementei:

  • SNORT + fwsnort para banir
  • psad para bloquear tentativas de varredura de rede
  • Portknocking para iniciar + abrir o SSH (login baseado em chave - sem senha)
  • atualização por hora das regras de tabelas de IP de uma assinatura de segurança
  • Fail2Ban
  • ClamAV & Rootkithunter + Logwatch

Qual mecanismo de segurança independente de serviço você acrescentaria a isso? Qual mecanismo você está usando? O servidor executará o Apache e o Postfix. Para o Apache ocultando as informações do servidor ofc. e nada que eu possa pensar para o Postfix. Obrigado

    
por Phoibe 22.02.2011 / 23:36

3 respostas

4

Nossa, você realmente jogou tudo menos a pia da cozinha naquela máquina. Por favor, não leve a mal, mas da sua pergunta parece que você pode não ser super experiente. Se eu estiver enganado, peço desculpas.

Meu ponto é, você vai importar muito mais do que a quantidade louca de software de segurança que você joga na sua máquina. Especificamente, seu nível de conhecimento, experiência e atenção aos detalhes são fundamentais para o sucesso de sua configuração de segurança.

Se você não tem a experiência ou a capacidade de manter esses aplicativos, corre o risco de se envolver em uma falsa sensação de segurança.

Dito isto, você realmente cobriu muitas bases lá. A única coisa que não vejo é uma detecção de intrusão baseada em host. por exemplo. AIDE ou Tripwire

    
por 22.02.2011 / 23:57
2

Eu adicionaria backups.

Você realmente saiu na frente de segurança de rede. Usar apenas um subconjunto dessas ferramentas provavelmente seria adequado.

Desative todo e qualquer serviço de rede que você não precise. Se você tiver serviços de rede que são acessados apenas no servidor, faça com que eles atendam apenas à interface de loopback.

    
por 23.02.2011 / 02:41
2

Uma desvantagem em implementar tudo isso no seu servidor é:

Cada aplicativo adiciona vulnerabilidades potenciais. Se você não é habilidoso em proteger aplicativos, você pode ter tornado seu servidor MENOS seguro!

Se você souber como configurar e ajustar o snort, mantenha-o lá, caso contrário, ele terá uma falsa sensação de segurança.

Portknocking - bastante inútil, a menos que você tenha um requisito específico para um serviço invisível. Você possivelmente seria melhor usar um SSHD normal com autenticação baseada em certificado.

Confira esta pergunta sobre troca de pilha de segurança para algumas idéias.

    
por 23.02.2011 / 10:35

Tags

Atualização de rede massiva Como configuro o arquivo de zona para que foo.com e www.foo.com funcionem?