Libros / Guías para asegurar un servidor [cerrado]

13

Tengo una idea de sitio web que quiero construir y lanzar, y estoy pensando en obtener un pequeño VPS para alojarlo (me gusta Linode por su precio, y parece que son muy recomendables). Estoy bastante arruinado, así que no puedo permitirme un servidor administrado.

Descargué Ubuntu Lucid Server y lo ejecuté en un VirtualBox, para ayudarme a aprender y actuar como una aproximación cercana al eventual servidor de producción. Estoy comprometido con el aprendizaje, pero tengo mucho miedo de perder algo tonto y comprometerme. Como tal, me gustaría saber de buenas guías / libros que expliquen los puntos principales de asegurar un servidor LAMP.

He trabajado en las cosas básicas de los respectivos tutoriales de Linode y Slicehost, pero quiero estar lo más preparado posible. El sitio aún no está escrito, y es probable que primero lo implemente en un host compartido como una ejecución de prueba, por lo que tengo tiempo para aprender al menos los conceptos básicos.

Sé mantener todo actualizado, configurar iptables para permitir solo los agujeros que necesito (que parece solo para los puertos TCP 22, para ssh / scp / sftp; lo cambiaré desde el puerto predeterminado para la seguridad (muy pequeña) a través de la bonificación de oscuridad (y 80 para http), aunque estoy confundido por algunos tutoriales que dicen bloquear ICMP ya que no sé por qué no querría responder al ping, y solo para instalar el software que necesito / elimino el software que no uso no necesito

security AgenteConundrum
fuente
1
Personalmente, creo que esta pregunta pertenece a la falla del servidor. el AMP en LAMP debería estar fuera del tema aquí, en mi opinión.
xenoterracide
@xenoterracide: bastante justo, aunque realmente no estaba buscando ayuda con los bits de AMP. Notarás que el título de la pregunta no menciona LAMP específicamente: pregunté sobre la seguridad de un servidor en general, lo que me pareció bastante sobre el tema. Mencioné toda la pila en la pregunta, pero la agregué más como contexto que cualquier otra cosa. Mi verdadero problema es que soy un novato en Linux, y pensé que Linux SE tendría la experiencia adecuada para ayudar. Por cierto, pregunté esto en SF anteriormente, pero pensé que obtendría más atención aquí, y pensé que sería bueno tener información de seguridad aquí.
AgentConundrum
bueno ... mi problema es como dijiste que es una pregunta sobre la seguridad del servidor en general. Pero no es realmente mi lugar decidir qué es Ontopic aquí.
xenoterracide
En mi humilde opinión, use Debian en lugar de Ubuntu, ejecute Nginx en lugar de Apache. El resto suena bien. No toque un host compartido con una encuesta de barcazas.
Alex Chamberlain

Respuestas:

6

Como ya está usando Ubuntu, le recomiendo su Guía del servidor , que ofrece una descripción básica de un conjunto común de servicios predeterminados.

También eche un vistazo a Linux Server Security de O'Reilly. En realidad, solo busque en Amazon algunas ofertas.

Googlear lista de verificación de endurecimiento del servidor de parece devolver algunas buenas y prácticas formas de averiguar rápidamente si algo está claramente mal con su configuración.

Finalmente, dirígete a la sección de seguridad de serverfault y pregunta.

Editar: también, ICMP debe bloquearse según el mensaje. Consulte Filtrado de paquetes ICMP para más detalles.

Pedro Silva
fuente
Vi el libro de O'Reilly antes (a través de la misma búsqueda que mencionaste, en realidad), pero la fecha de publicación me desanimó un poco. ¿Es un libro de cinco años realmente relevante todavía hoy? Revisaré el resto de sus enlaces también (bueno, excepto que ya le hice esta pregunta a SF hace un tiempo, así que no tiene sentido duplicar ese esfuerzo). Muchas gracias.
AgentConundrum
1

Solo una respuesta parcial, pero he escrito un tutorial de IPtables que puede serle útil. http://www.ellipsix.net/geninfo/firewall/index.html

Además de IPtables, necesitará configurar SSH y Apache, pero estos vienen con configuraciones predeterminadas que ya son bastante seguras, por lo que solo hay un par de cosas que probablemente tenga que cambiar. Por supuesto, a medida que agrega más funciones a su sitio web, deberá mantener la configuración actualizada en consecuencia. Probablemente alguien más pueda recomendar buenas referencias para eso.

De hecho, haré esta wiki comunitaria para que si alguien más desea agregar enlaces, pueda hacerlo.

David Z
fuente
Gracias, revisaré tu sitio. No me di cuenta de que Apache, o especialmente SSH dado lo que significa la S, eran inseguros de fábrica. Espero que alguien más pueda venir con una guía para ellos, si no tiene ninguno. ¡Gracias de nuevo!
AgentConundrum
Bueno, el "Seguro" en SSH solo significa que envía sus datos en forma encriptada, para que las personas no puedan espiar una conexión existente. Pero crear una configuración SSH segura se trata más de asegurarse de que nadie pueda conectarse en primer lugar a menos que estén realmente autorizados para hacerlo. El cifrado no protege contra eso.
David Z