¿Cuáles son algunos pasos a seguir para asegurar un servidor Linux que no están en esta lista de los obvios?

3

Cosas obvias:

  1. Deshabilitar root login (más bien, no habilitarlo)
  2. SSH seguro (sin inicio de sesión root , solo autenticación de clave, tiempo de espera después de inactividad, usuarios de la lista blanca que pueden SSH, etc.)
  3. IP Tables firewall que incluye solo el tráfico correcto en 80/443/22
  4. Actualizar todos los paquetes
  5. Deshabilitar Control-Alt-Delete para la consola

El sistema operativo es Ubuntu 12.04.1 x86-64 (servidor) y el uso es como un servidor de aplicaciones web. El software utilizado es:

  1. Nginx (se ejecuta como www-data )
  2. Supervisor (se ejecuta como root sin servidor HTTP o servidor RPC)
  3. uWSGI (se ejecuta como www-data )
  4. Apio (ejecutado como www-data )
  5. Redis (ejecutar como www-data )
  6. Memcached (ejecutado como www-data )

Lo pregunto porque no estoy seguro de qué cosas están instaladas con Ubuntu 12.04.1 que podrían tener vulnerabilidades de seguridad potenciales, qué cosas podría haber dejado accidentalmente de mi lista de verificación "obvia" y cuál de los paquetes he mencionado anteriormente, que podría tener vulnerabilidades de seguridad (todos instalados como paquetes frente a compilación manual, por cierto).

    
pregunta orokusaki 07.12.2012 - 19:46
fuente

1 respuesta

1
  • Ejecute su aplicación web como un usuario diferente al de todos los demás. ¡¡¡Para esto está www-data !!!!!
  • ¡Elimine el acceso de escritura a su raíz web! (Y solo su aplicación web (www-data) debería tener leer / ejecutar)
  • Use un servidor de seguridad de aplicaciones web (WAF). Naxsi para Nginx es una Sin embargo, la opción mod_security es una WAF mejor.
  • Elimine el acceso al puerto 22 utilizando Llamada al puerto o Bastion Host (puntos de bonificación por usar ambos!)
  • Forzar HTTPS solo para evitar OWASP a9 . HTTP debería solo se utilizará para establecer HSTS y redirecciones a HTTPS.
  • La última vez que verifiqué Ubuntu no tiene conjuntos de reglas de AppArmor para ngix, donde como Lo hacen por la instalación de LAMP. También ten en cuenta que nginx es muy joven y como resultado, se publican más avisos para ngix que [Apache]
  • configure apt autoupdate para actualizaciones relacionadas con la seguridad.
  • Si tiene el dinero, obtenga un pentest
respondido por el rook 07.12.2012 - 20:56
fuente

Lea otras preguntas en las etiquetas