Настройка безопасности сервера на линухе

Имеем неважно какой дистрибутив, ставим на него апач со всеми нужными модулями. Блокируем через iptables все порты кроме 80 и то, только для локальных адресов.

Код:

iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 192.168.0.0/24 -j DROP

Шелл и самба не нужны (и даже не установлены), так как доступ будет только прямой.

Можно ли назвать теперь такой сервер надёжным с точки зрения безопасности?

Фаервол на портах далеко и не всегда единственный залог безопасности.

Вообще комп в полной безопасности только когда он помещен в надежный сейф, не является участником сети и выключен из розетки )) Но опять же даже эта версия сводится к человеческому фактору - у кого то все таки есть ключики от этого сейфа. А значит тоже ненадежно

Но это лирика.

Большую угрозу безопасности для рядового веб сервера предоставляют такие службы (мое личное мнение):

1. Веб сервер, обрабатывающий динамику, на котором будут хоститься дырявые опен соурс софтины (вроде пхпадснью, мамба, етц). Как бы не был охуенно защищен ваш сервак, его рано или поздно ломанут. Чтобы такого не было, надо либо не использовать опен соурс, либо свести риск взлома к минимуму, сделав профилактику софта. Удаляйте внешнее упоминание версии, удаляйте физически все ненужные модули этого софта (xmlrpc например). апач должен работать под непривелегированным "левым" юзером. напр. www. Запретите нафик LOAD DATA INFILE в MySQL. Этой дыренью пользуются наиболее часто для чтения локальной файловой системы.

2. FTP, SSH сервер. Ну тут все банально. Либо брутфорс, подбор пароля, либо по оплошности разрешенный анонимоус доступ. Пароли должны быть длинные и разные. Юзеры должны быть нестандартные комбинации букв.

3. Мускуль, который слушает сеть. Если в поддержке MySQL TCP сокета нет необходимости, выключить его (skip-networking в /etc/my.cnf). Нехватало перебора паролей извне.

4. Не проапдейченый софт, который слушает сеть. Поскольку на юникс серверах софт почти весь опен соурс, то его релизы надо всегда держать ап-ту-дейт с текущими. Смотрите кто у вас слушает сеть и эти софтины обновляйте регулярно.

1. Опенсурса нет. Работает пхп скрипт, по такой схеме:
PHP <-> XMLRPC <-> JBoss <-> MSSQL
В конфигах никаких паролей нет вообще.

2,3. FTP, SSH, Samba, MySQL не установлены.

4. В сеть будет смотреть только апач.


Можно ли говорить о максимальной защищённости сервера? (не приложений!)

насколько я понял, жибос стоит не на этом сервере. тогда да, у твоего сервера ломать особо нечего

samedi писал:

Можно ли говорить о максимальной защищённости сервера? (не приложений!)

Нельзя. Через апач можно залить эксплоит и выполнив его - получить доступ к серверу.

Если нужен комплексная безопасность, то рекомендую посмотреть на http://esupport.org.ru/services/security/advanced.html

eSupport писал:

Если нужен комплексная безопасность, то рекомендую посмотреть на http://esupport.org.ru/services/security/advanced.html

В данном случае доступ к серверу не может быть предоставлен сторонним лицам.

eSupport писал:

Нельзя. Через апач можно залить эксплоит и выполнив его - получить доступ к серверу. Если нужен комплексная безопасность, то рекомендую посмотреть на http://esupport.org.ru/services/security/advanced.html

Ты очень преувеличиваешь. На улице тоже есть какая то вероятность получить смертельную дозу радиации, но это еще не значит что каждый раз надо надевать скафандр.

samedi: расслабься. твой сервер достаточно неплохо защищен ровно до тех пор, пока кто то целенаправленно не решит конкретно его хакнуть

Pentarh писал:

2. FTP, SSH сервер. Ну тут все банально. Либо брутфорс, подбор пароля, либо по оплошности разрешенный анонимоус доступ. Пароли должны быть длинные и разные. Юзеры должны быть нестандартные комбинации букв.

В наше время FTP идет вообще на свалку, а в SSH разрешается логины только по ключикам - никаких паролей.

Pentarh писал:

Ты очень преувеличиваешь. На улице тоже есть какая то вероятность получить смертельную дозу радиации, но это еще не значит что каждый раз надо надевать скафандр.

Я не преувеличиваю. На улице нельзя получить ниоткуда дозу. А вот пулю в голову - легко. Если заказали.
Тоже самое и с сервером. Если охота быть неуловимым Джо или жалко сотни баксов - можно и так оставить.

Ты очень напоминаешь мне антивирус касперского, который кричит о супер-мега опасности заражения в любом пустяковом случае: базы устарели, я вырубил активную защиту, компьютер давно не проверялся, или когда я в блокноте изменил файл hosts

Уж не знаю че делать с этим параноиком уже

eSupport писал:

Если охота быть неуловимым Джо или жалко сотни баксов - можно и так оставить.

Говорю ещё раз. Пускать тебя к серверу - пускать к базам, содержание которых стоит в в сто раз больше, чем сто баксов. И перед тем как позиционировать себя как продвинутый специалист в области защиты информации, будет лучше, если потратишь карманные деньги на нормальную переделку шаблона вордпресса и не будешь пытаться зарабатывать адсенсом копейки на рекламе.

samedi писал:

Говорю ещё раз. Пускать тебя к серверу - пускать к базам, содержание которых стоит в в сто раз больше, чем сто баксов. И перед тем как позиционировать себя как бла бла бла

В таких случаях обычно нанимается человек соответсвующей квалификации, а не решается проблема путём соцопроса на форуме.

По сабжу ответ нет, нельзя. Pentarh всё правильно написал. Добавлю от себя что если работает PHP скрипт, то на него тоже можно произвести атаку. Но как я понял этот сервер извне не доступен, так что расслабься ;)

samedi писал:

Говорю ещё раз. Пускать тебя к серверу - пускать к базам, содержание которых стоит в в сто раз больше, чем сто баксов. И перед тем как позиционировать себя как продвинутый специалист в области защиты информации, будет лучше, если потратишь карманные деньги на нормальную переделку шаблона вордпресса и не будешь пытаться зарабатывать адсенсом копейки на рекламе.

Не хочешь пускать к боевому серверу - бери чистый и я его настрою - потом можешь тестить/ломать.

По поводу сайта - он вообще ничего не значит. Если тебе нужны отзывы от серьезных заказчиков - я их дам по запросу. Если нужна гарантия - заключим договор.