Купил vds.Стоит CentOS 5.2 Подскажите как хотя бы обезопасить свой сервер.Yum update и yum upgrade это понятно.Но что можно сделать с php,mod_security и так далее.Желательно приводить примеры используя CentoS.как приавильно настроить апач и всё По (мускул,пхпмайадмин).
Апач и Mysql хочешь обезопасить что ли? На 1000 посещений ничего тюнить не надо, все ранботает из коробки. Ради интереса приведи вывод команды uname -a, есть подозрение что ядро старое и про безопасность можешь забыть вообще
В центосе очень старое ядро, насколько помню 2.6.18, но это совсем не означает, что оно дырявое. Просто майнтейнеры дистрибутива поддерживают его. Про софт: Апач нужно запускать в mpm, например, я использую mpm_peruser, который позволяет запускать все окружение виртуального хоста от определенного пользователя. Если заинтересует, могу подробней рассказать. + бэкапы бд и файлов спасут, если сайт будет взломан. С похапэ не забываем про basedir, но это защита от дурака. А вообще, тема слишком обширная. Можно книгу написать.
Дособираем Suhosin patch для PHP (в новых версиях он стоит по дефолту) #Конфигурим PHP register_globals = Off (по дефолту он off - но мало ли..) display_errors = Off open_basedir = path (коллеги уже рекомендовали) желательно allow_url_fopen = off allow_url_include = off К апаче прикручиваем mod_security ### Затягиваем гайки (не факт правда что все скрипты будут отрабатывать должным образом - но если уже заработает - то спать можно спокойно safe_mode = On magic_quotes_gpc = On Если есть возможность - убираем с сервака все качалки - wget, curl, fetch, lynx ... - это может стать решающим звеном... Этого должно хватить
А затем создаем пользователя test test, чтобы првоерить как все работает. Обезопасить машину можешь, заперев ее в сейф, всего не предусмотришь
Если на сервере web-хостинг, то прежде всего надо следить за форумами/бордами/feedback формами, там где может быть SQL-Inj и XSS-Inj. За апачем и php надо тоже следить, обычно RedHat'овцы быстро выкладывают пачти на всякие потенциальные уязвимости, но в тоже время не забывай почитывать анонсы с официальных сайтов. Через iptables желательно ограничить UDP-трафик, а также возможное кол-во подключений для уникального IP. Плюс поставить блокиратор от брутфорса по ssh, это детский лепет, но нагрузку могут повышать этим и логи засоряются только так. Про всякие бэкапы думаю не стоит говорить.
