Livres / Guides pour sécuriser un serveur [fermé]

13

Fermé . Cette question est basée sur l'opinion . Il n'accepte pas actuellement les réponses.

Voulez-vous améliorer cette question? Mettez à jour la question afin d'y répondre avec des faits et des citations en modifiant ce message .

Fermé il y a 5 ans .

J'ai une idée de site Web que je veux construire et lancer, et je pense à obtenir un petit VPS pour l'héberger (j'aime Linode pour leur prix, et ils semblent être largement recommandés). Je suis assez ruiné, donc je ne peux pas me permettre un serveur géré.

J'ai téléchargé Ubuntu Lucid Server et l'ai exécuté dans une VirtualBox, pour m'aider à apprendre et à agir comme une approximation proche du serveur de production éventuel. Je suis déterminé à apprendre, mais j'ai assez peur de manquer quelque chose de stupide et de me compromettre. En tant que tel, j'aimerais connaître de bons guides / livres expliquant les principaux points de la sécurisation d'un serveur LAMP.

J'ai travaillé à travers les trucs de base dans les tutoriels respectifs de Linode et Slicehost, mais je veux être aussi préparé que possible. Le site n'est pas encore écrit, et je suis susceptible de déployer d'abord sur un hôte partagé en tant que version d'essai, j'ai donc le temps d'apprendre au moins les bases.

Je sais que tout est à jour, configurez iptables pour n'autoriser que les trous dont j'ai besoin (qui n'apparaît qu'aux ports TCP 22, pour ssh / scp / sftp - je le changerai du port par défaut pour la sécurité (très mineure) grâce à l'obscurité bonus - et 80 pour http) - bien que je sois confus par certains tutoriels qui disent de bloquer ICMP car je ne sais pas pourquoi je ne voudrais pas répondre au ping - et pour installer uniquement les logiciels dont j'ai besoin / supprimer les logiciels que je don pas besoin.

security

— AgentConundrum
source

1

Je pense personnellement que cette question appartient à Server Fault. l'AMP dans LAMP devrait être hors sujet ici, OMI.

— xenoterracide

@xenoterracide: Très bien, même si je ne cherchais pas vraiment d'aide avec les bits AMP. Vous remarquerez que le titre de la question ne mentionne pas spécifiquement LAMP - j'ai posé une question sur la sécurisation d'un serveur en général, ce qui me semblait assez sur le sujet. J'ai mentionné toute la pile dans la question, mais je l'ai ajoutée plus comme contexte qu'autre chose. Mon vrai problème est que je suis un nouveau venu chez Linux, et je pensais que Linux SE aurait la bonne expertise pour vous aider. BTW, j'ai déjà posé cette question sur SF, mais je pensais que cela attirerait plus d'attention ici, et je pensais que les informations de sécurité seraient bonnes à avoir ici.

— AgentConundrum

eh bien ... mon problème est comme vous l'avez dit, c'est une question sur la sécurité du serveur en général. Mais ce n'est pas vraiment à moi de décider ce qui est Ontopic ici.

— xenoterracide

À mon humble avis, utilisez Debian au lieu d'Ubuntu, exécutez Nginx au lieu d'Apache. Le reste sonne bien. Ne touchez pas un hôte partagé avec un sondage de barge.

— Alex Chamberlain

8

Lisez le manuel de sécurité Gentoo . La majeure partie devrait s'appliquer à n'importe quelle distribution Linux.

— xénoterracide
source

6

Comme vous utilisez déjà Ubuntu, je recommande leur Guide du serveur , qui offre un aperçu de base d'un ensemble commun de services par défaut.

Jetez également un œil à Linux Server Security d'O'Reilly. En fait, il suffit de rechercher sur Amazon pour quelques offres.

Liste de contrôle de durcissement du serveur Google semble de bons moyens pratiques de déterminer rapidement si quelque chose ne va vraiment pas dans votre configuration.

Enfin, rendez-vous sur serverfault vous dans la section sécurité de et demandez-le.

Modifier: également, ICMP doit être bloqué en fonction du message. Voir Filtrage de paquets ICMP pour plus de détails.

— Pedro Silva
source

J'ai vu le livre O'Reilly plus tôt (via la même recherche que vous avez mentionnée, en fait), mais j'ai été un peu rebuté par la date de publication. Un livre de cinq ans est-il toujours d'actualité aujourd'hui? Je vais également vérifier le reste de vos liens (enfin, sauf que j'ai déjà posé cette question à SF il y a un certain temps, donc il n'y a pas de raison de dupliquer cet effort). Merci beaucoup.

— AgentConundrum

5

Lecture suggérée de sources américaines faisant autorité et de bonne réputation:

Vous devez également lire les avertissements en petits caractères dans les manuels de votre système d'exploitation.

— Chasseur de cerf
source

1

Seulement une réponse partielle, mais j'ai écrit un tutoriel IPtables qui peut vous être utile. http://www.ellipsix.net/geninfo/firewall/index.html

Outre IPtables, vous devrez configurer SSH et Apache, mais ceux-ci sont livrés avec des configurations par défaut déjà sécurisées, il n'y a donc que quelques choses que vous devrez probablement changer. Bien sûr, au fur et à mesure que vous ajoutez des fonctionnalités à votre site Web, vous devrez maintenir la configuration à jour en conséquence. Quelqu'un d'autre peut probablement recommander de bonnes références pour cela.

En fait, je vais créer ce wiki communautaire afin que si quelqu'un d'autre a envie d'ajouter des liens, il puisse le faire.

— David Z
source

Merci, je vais consulter votre site. Je ne savais pas qu'Apache, ou en particulier SSH étant donné ce que signifie le S, n'était pas sûr de la boîte. J'espère que quelqu'un d'autre pourra venir avec un guide pour eux, si vous n'en avez pas. Merci encore!

— AgentConundrum

Eh bien, le "sécurisé" dans SSH signifie seulement qu'il envoie vos données sous forme cryptée, de sorte que les gens ne peuvent pas espionner une connexion existante. Mais la création d'une configuration SSH sécurisée consiste davantage à s'assurer que personne ne peut se connecter en premier lieu à moins qu'il ne soit vraiment autorisé à le faire. Le cryptage ne protège pas contre cela.

— David Z