Asegurar el servidor PHP de Debian Apache

Navega tus respuestas
8

Tengo un servidor de Debian Apache PHP. Quiero asegurarlo después del proceso de instalación clásico.

Mis pasos habituales son:

  • elementos de lista
  • actualizar todos los paquetes
  • elimine todos los servicios innecesarios como named, portmap, lwresd ...
  • agregue una secuencia de comandos de inicio de iptables: bloquee todo, excepto 22 y 80, y permita que todos salgan. Forzar el chequeo de paquetes SYN, forzar el chequeo de paquetes de fragmentos, soltar paquetes de Navidad, soltar Soltar todos los paquetes NULOS, soltar ip local en wan, todos solo tipo icmp 0 y 8.
  • SSH: elimina el inicio de sesión de root y la autenticación de contraseña. Utilice las teclas en su lugar. Permitir sólo el nombre de usuario válido. Sólo el protocolo 2
  • PHP: expose_php=Off , limita los módulos PHP a los utilizados, no muestra errores al visitante: display_errors=Off y log_errors=On , allow_url_fopen=Off , allow_url_include=Off y elimina funciones peligrosas
  • Apache: ServerSignature Off , ServerTokens Prod
  • Instale el paquete adicional: fail2ban (SSH bruteforce protection), chkrootkit (detección de rootkit), logwatch (cuidado diario de los registros), munin (monitoreo de recursos), apticron (esté atento a la actualización)

¿Ves algo más?

    
pregunta hotips 18.09.2012 - 10:38
fuente

5 respuestas

3

Recomiendo que se configure un IDS basado en host y La base de datos de firmas se completó, eliminando cualquier contenido suministrado con Apache. También está revisando el modelo de permisos alrededor del registro para que no tenga que ser root para leer los archivos.

También hay varias cosas que puede hacer dependiendo de lo que haga con el servidor: verifique el tiempo de espera y el tamaño máximo de publicación de apache, establezca un open_basedir para PHP (junto con los ajustes de rendimiento habituales).

    
respondido por el symcbean 18.09.2012 - 10:49
fuente
1

Además de todo lo que ya ha hecho, hay repositorios de Debian auxiliares que le pueden resultar útiles si prefiere mantener su instalación más cerca del límite de sangrado:

enlace es un buen ejemplo

Estos repositorios no son de ninguna manera un reemplazo para las distribuciones oficiales de Debian; Estar más cerca de estar a la vanguardia le brinda actualizaciones más rápidas, pero es posible que no haya sido probado con los mismos estándares rigurosos que los mantenedores de paquetes de Debian mantienen. Como siempre, es una compensación.

Si necesita bloquear los spammers, moblock puede ayudar con esto a nivel de IP, y hay una buena selección de listas gestionadas (Bluetack, spamhaus, etc.).

    
respondido por el parallaxed 18.09.2012 - 12:44
fuente
1

Aunque es para Ubuntu, debería ayudar a captar el punto: enlace

    
respondido por el djozsef 26.09.2012 - 20:50
fuente
1

No olvide editar los permisos para www-data y para su usuario SSH dentro de la raíz web.

Si se trata de algún tipo de aplicación web, y los usuarios finales tienen permiso para cargar archivos, querrá asegurarse de que nada de lo que cargan sea ejecutable. Algunos hacks inteligentes incluyen la carga de archivos binarios disfrazados de imágenes .jpg en servidores con permisos incorrectos.

Esta es una excelente publicación (ver mejor respuesta) sobre los permisos: enlace

    
respondido por el Andrew Templeton 30.11.2012 - 07:00
fuente
0

SELinux , si estás dispuesto a configurarlo. La guía de Red Hat es casi totalmente compatible. con cómo está configurado en Debian.

    
respondido por el Kenzo 30.11.2012 - 10:31
fuente

Lea otras preguntas en las etiquetas

Necesita un software que pueda monitorear y registrar el tráfico de red de las aplicaciones instaladas [cerrado] ¿Dónde y cómo se almacenan los datos en una sesión?