Здравствуйте Господа Линуксоиды а также братья "младшие" виндовс-юзеры! Тема Убунту Сервер очень большая..... с каждым днем убеждаюсь что ничччччего не знаю. Есть из админов кто знает как настроить Убунту Сервер на оптимальный уровень защиты? При выборе ВПС хостинга, пров обычно оставляет настройки по умолчанию. А все остальное на плечах админа. Хотелось бы услышать кто как проходил этот путь, с чем сталкивался. Думаю тема будет очень полезна всем Линуксоидам без исключения. Спасибо.
сервер на базе убунты это как обменный пункт валюты на базе киоска роспечати - довести до ума мона но неоправданно сложно ))))
Можете указать хоть какую нибудь ссылку? Юзать гугл я умею........ но опыт у вас есть уже и это может съэкономить время. а то работы оооочень много. Пожалуйста....хоть что нибудь
Я не знаю какие сервисы.........но думаю что самые новейшие которые есть (ой ) А подключаюсь я к серверу через патти с учетной "root"
понятно... хорошо, вопрос поставлю по-другому, что будет работать на сервере ? Это будет веб-сервер или что ?
Я купил хост и сделал на нем сайт. Хост VPS. работать будет сайт со всякими прибамбасами...вы это имелу ввиду? как обычно - апач, мускул, и т.д. там УбунтуСервер установлен. Были варианты........ с панелью управления - платная. подумал что если с линуксом на компе справился справлюсь и с серверным вариантом. но я там ноль что понимаю. управляю им через Putty с Рут-доступом. хочу его настроить на оптмальную защиту.
вот тебе ключевики, для начала думаю неплохо будет : app armor, chroot-инг приложений, iptables или фаер который в убунту по дефолту, безопасная настройка sshd
недавно на milw0rm.com вышла неплохая подборочка, по настройки секурности для linux семейства. http://milw0rm.com/papers/346 Рекоменду. к прочтению.
mod_security Также поставь, по ссылочке, которая ведет на milworm это рассказно. Дальше : safemode в php на 1, ограничения на open_base_dir - проверь версию, под 5.2.0 ( точно не помню) есть сплойт, который позволяет данное ограничение обойти. В мускуле запрети удаленные конекты. Права на базы раздай минимальный, под каждую базу своего юзера, если нужен удаленный то делай через username@host. ВСЕ пароли не меньше 12 знаков, случаной сгенерированые - хранить в голове. Сейчас еще вспомню, что я делал в php.ini
редко канает, я вот например никогда не использую данную возможность (локальные сети не в счет) ибо вечно у меня динамические IP =)
взять пару стабильных проксей на месяц, если действительно нужна безопасность ну и внести только их в список разрешенных
спасибо друзья. любой ваш отзыв помогает. я тут заметил одну вещь....новички типа меня не понимают жаргон господ Линуксоидов. просьба отказаться от жаргона на время пытаюсь расшифровать ))
