Основная концепция настроек безопасности сервера

Discussion in 'Безопасность и Анонимность' started by ettee, 2 Jul 2009.

  1. ettee

    ettee Administrator
    Staff Member

    Joined:
    12 Oct 2006
    Messages:
    466
    Likes Received:
    1,036
    Reputations:
    1,065
    Во избежания постоянных вопрос на форуме по поводу обеспечения безопасности на сервере была сделана данная заметка, которая обрисовывает общую картину действий. Материал собирает в себе далеко не все возможные меры предосторожности, и не все приведенные способы возможно применять из-за индивидуальных настроек сервера. В контенте рассматривается лишь среда программного обеспечения сервера.
    В стороне остались аппаратные комплексы защиты и топология построения сети.

    x0. Общие сведения.
    • Своевременное обновление программного обеспечения.
    • Придерживаться Sarge версий ПО.
    • Отключение ненужных сервисов, пакетов на стадии "сборки" (если это возможно).
    • Пренебрегать ПО и протоколами, в которых присутствует передача информации лишь в plain формате.
    • Удаление, либо сокрытие информации, способной скомпрометировать систему.
    • Сводить к минимуму количество запущенных служб.
    • Стараться использовать преимущественно встроенные механизмы.
    • Переименовывать учетную запись администратора, а так же изменять стандартные пароли.
    • Использовать сильные пароли с ограничением срока действия.
    • Блокировать анонимный доступ в "приложениях".
    • Комплексное резервное копирование информации с применением отдельного сервера.
    • При необходимости применять дополнительные протоколы аутентификации.

    x1. Целевая программно-аппаратная платформа.
    • Настройка дисковых квот на стадии монтирования.
    • Строгая политика разграничения пользовательских квот, а так же их групп.
    • "Строгие" директории для динамических библиотек.
    • Отсутствие посторонних программных-оболочек.
    • Запретить вход учётной записи root с неизвестных "интерфейсов".
    • Присутствие дополнительной проверки подлинности юзеров.
    • Ограничить применение сценариев с setuid атрибутами.

    x2. ПО серверной части.
    • Cистема обнаружения вторжения/система предотвращения вторжений (система отражения локальных угроз):
      • • На сетевом уровне.
      • • Операционного уровня.
      • • На уровне протоколов (прикладных протоколах при наличии БД).
      • • На уровне узла.
    • Система ограничения нежелательного трафика. Firewall.
    • Система ведения журналов всех событий в системе и оповещения администратора.

    x3. Веб-среда/Базы данных.
    • Выполнять запуск под уникальными UID/GID.
    • Разрешать лишь необходимые модули.
    • Файлы конфигурации должны применяться по возможности для сведения атак к минимуму.
    • Установка ограничений доступа к исполняемым файлам.
    • Использование chrooted среды.
    • Доступ должен осуществляться через межсетевой экран.
    • Фильтрация всех запросов и их содержания со стороны клиента.
    • Доступ к БД должен осуществляться локально.
    • Изменение, удаление используемых по стандарту таблиц, префиксов в БД.

    • y1.Веб-сервер.
      • • • Регистрация всех GET и POST запросов.
      • • • Отказаться от фильтрации, применять валидирование (белые списки).
      • • • Преждевременная проверка сценариев.

    Данный список будет подвергаться обновлению. Дальнейшие предложения и замечания приветствуются.

    Тема: Защита сетевых баз данных
     
    _________________________
    #1 ettee, 2 Jul 2009
    Last edited: 8 Oct 2009
  2. Пётр

    Пётр Elder - Старейшина

    Joined:
    14 May 2006
    Messages:
    27
    Likes Received:
    5
    Reputations:
    0
    Здравствуйте! Есть вопрос по теме.
    Имеется сервер, на нем находится множество сайтов на различных cms.
    Время от времени на сервере появляется мусор - посторонние файлы, возможно вирусы.
    После их чистки они вновь появляются через определенное время.
    Я так полагаю они заливаются через возможные дыры сайтов.
    Как этого избежать? Есть ли тут люди, которые смогут устранить данный непорядок?
     
  3. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,114
    Likes Received:
    830
    Reputations:
    231
    Можно просканировать http://revisium.com/ai/
     
    _________________________
  4. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    Для начало необходимо настроить политику безопасности между сайтами, выделить под каждый сайт отдельного пользователя, затем настроить php.ini под каждый сайт, далие уже заниматься каждым сайтом в отдельности! Также не забывайте про палитику логирования, ну и естественно своевременные апдейты и настройка фаервола.
     
    _________________________
  5. vikii

    vikii Banned

    Joined:
    29 Dec 2013
    Messages:
    175
    Likes Received:
    73
    Reputations:
    1
    у вас сервант на чём крутиться, какое ПО установлено?
     
  6. Пётр

    Пётр Elder - Старейшина

    Joined:
    14 May 2006
    Messages:
    27
    Likes Received:
    5
    Reputations:
    0
    Пользователи настроены, новые (вредоносные) фалйы появляются от разных пользователей, после чистки всех плохих файлов они появляются вновь, гдето есть uploader , найти никак не могу
    CentOS 7, nginx + php-fpm + mariadb
    exim, fail2ban
    все обновлено
     
  7. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    Если файлы появляются от разных пользователей, то у вас возможно криво настроен сервак посмльрите в сторону этой статьи https://forum.antichat.ru/threads/397144/
     
    _________________________
  8. parser

    parser New Member

    Joined:
    25 Oct 2015
    Messages:
    13
    Likes Received:
    0
    Reputations:
    1
    Посмотрите visudo чтоли
    Интрудер мог тупо сделать себе админа, я так например мозги делал полгода на нескольких серваках, пока жалко не стало админов...