Добрый день!
У меня возник вопрос, как обеспечить безопасность сервера (виртуальный выделенный сервер на хостинге)
Я в *nixe вообще n00b, но все же пытаюсь разобраться.
Вот какие аспекты я выделил для себя пару дней копаясь в доках:
- желательно делать как можно больше пользователей под свои задачи, напирмер, для запуска apache своего, для tomcat своего и работать с нужными папками и программами через них, чтобы во-первых не светить рутовский пароль лишний раз, во-вторых чтобы если что запущенные процессы от имени этих пользователей не могли навредить системе.
- закрыть все неиспользуемые порты, т.е. оставить 22 для ssh и 80/8080 для HTTP. В дебиане это вроде делается через iptables(8), насколько я понял, пока до конца в ней не разобрался, но в процессе...
правильно я мыслю, и что еще можно предпринять для обезопасивания сервака ? Есть мысли ?
Безопасность сервера
Модераторы: Warderer, Модераторы разделов
-
aandy
- Сообщения: 57
- ОС: Rosa Linux
Re: Безопасность сервера
> Я в *nixe вообще n00b,
не пишите такие фразы, они вызывают плохие ассоциации. (имхо).
> - желательно делать как можно больше пользователей под свои задачи,
да
> для запуска apache своего
debian -- бинарный дистрибутив, устанавливать из исходников надо только в крайнем случае (например, нет нужной версии по; по скомпилено не с теми параметрами, с кот вам надо и т.п.). а при установке апача из реп апач работает от www-data.
> - закрыть все неиспользуемые порты
если вы точно знаете какие порты вам не нужны, то да, иначе можете прикрыть не те порты.
> оставить 22 для ssh
имхо, ссш лучше перенести вообще на др. порт, например на 9009, отклюить доступ руту по ссш (по этому вопросу много споров, что лучше, но, имхо, так безопаснее).
> правильно я мыслю
я думаю, что да.
ещё подпишитесь на необходимое здесь lists.debian.org
не пишите такие фразы, они вызывают плохие ассоциации. (имхо).
> - желательно делать как можно больше пользователей под свои задачи,
да
> для запуска apache своего
debian -- бинарный дистрибутив, устанавливать из исходников надо только в крайнем случае (например, нет нужной версии по; по скомпилено не с теми параметрами, с кот вам надо и т.п.). а при установке апача из реп апач работает от www-data.
> - закрыть все неиспользуемые порты
если вы точно знаете какие порты вам не нужны, то да, иначе можете прикрыть не те порты.
> оставить 22 для ssh
имхо, ссш лучше перенести вообще на др. порт, например на 9009, отклюить доступ руту по ссш (по этому вопросу много споров, что лучше, но, имхо, так безопаснее).
> правильно я мыслю
я думаю, что да.
ещё подпишитесь на необходимое здесь lists.debian.org
Здесь был я.
-
windwail
- Сообщения: 5
-
RasenHerz
- Сообщения: 1341
- ОС: Arch Linux amd64
Re: Безопасность сервера
Ну оставлять SSH на 22 порту, имхо, не стоит - хоть вам это может и удобнее, но тогда вы оставляете потенциальную дыру в защите сервера. Как вариант можно еще дропать icmp-пакеты (машина перестанет отвечать на пинг)