Servidor de desarrollo seguro con personal remoto

1

¿Cuáles son las mejores prácticas para asegurar un servidor de desarrollo donde el personal es remoto?

En ese servidor, ejecutará apache2 webserver y mysql.

El servidor O / S es Debian 9.

Mi idea es que:

  • Solo se permitirán conexiones SSH con claves SSH.

  • Cada empleado tendrá permisos solo en su directorio de inicio.

  • Los empleados tendrán permisos para ejecutar solo algunos sudo permitidos comandos.

¿Me estoy perdiendo algo?

    
pregunta tomsk 17.10.2017 - 16:51
fuente

1 respuesta

1

Pasos importantes adicionales:

  • Cortafuegos de todo. Solo exponga el puerto SSH, HTTP y HTTPS (+ cualquier otro puerto específico de la aplicación)
  • Asegúrese de que MySQL solo se enlace a localhost, ejecute la configuración segura (tenga cuidado con la longitud de PW, solo admite 32 caracteres)
  • Instale y configure Fail2Ban para bloquear dinámicamente cualquier solicitud sospechosa
  • Eliminar / deshabilitar cualquier módulo Apache no utilizado
  • Asegúrese de que los controles de acceso con privilegios mínimos estén configurados correctamente, por ejemplo, las teclas individuales, una forma fácil de revocar el acceso, el registro completo de todos los comandos y el historial del terminal
  • Si es posible, implementar una lista blanca de IP para el acceso SSH

Pasos deseados:

  • Use una solución de CI para las implementaciones de código reales, esto agrega una capa de gobierno y control al código fuente que aparece en el servidor

  • Bloquee el lado público con una lista blanca de IP / autenticación básica, no tiene sentido que se arrastre y bombardee cuando está en desarrollo

  • Asegúrese de que sus registros de Apache y MySQL estén configurados correctamente con el nivel y los permisos correctos (los registros de Apache son propiedad de la raíz, así que tenga cuidado si realiza cambios aquí)

  • Mueve a ssh del puerto 22. No hay duda de que alguien lamentará esto, sí, es seguridad a través de la oscuridad, pero junto con Fail2Ban, la ventaja aquí es menos tráfico de bot en el puerto 22.

No ha mencionado ninguno de los servicios o idiomas utilizados, si está utilizando PHP, etc., también se deben tomar otras medidas.

    
respondido por el Trickycm 17.10.2017 - 17:50
fuente

Lea otras preguntas en las etiquetas