Webサーバーのセキュリティオーバーキル？

9

私はLinux Webサーバーのセキュリティ保護について「広範囲」の調査を行ってきました。「基本」と見なされるもの（未使用のサービスの削除、ssh、iptablesの強化など）に加えて、ルートキット対策（Tripwire）とウイルス対策（ClamAV）を含めることは賢明ですか？これらはWebサーバーにとってはやり過ぎですか？これは非常にあいまいな質問であることは知っていますが、他の意見に興味があります。

私の将来の環境：-ubuntu 10.04-fail2ban-nginx 0.8.x-php 5.3.x（suhosin、apc、memcached）-mongodb 1.6.x

可能なアプリケーション：-Webサービス-ユーザーがアップロードするWebアプリ（写真、PDFなど）-典型的なWebサイト（フォームなど）

他にヒントがあれば、遠慮なく追加してください！

ありがとう

— アーロン
ソース

8

一般向けサーバーの場合、tripwireのようなものをインストールすることは過剰ではありません。

ClamAVは別の問題です。もしあなたの訪問者があなたのウェブサイトにアップロードしたり、あなたのウェブサイトからダウンロードしたりすることによってファイルを共有するならそれを設定することを検討します。PDFにはエクスプロイトが含まれている可能性があります。

公開サーバーでは、SSHでパスワード認証を許可せず、公開鍵認証のみを許可しています。SSHが内部LANからのみ可能である場合、これを緩和できます。

可能な場合は、サーバーをDMZに配置して、内部LAN上の他のコンピューターへの接続を開始できないようにします。

— RedGrittyBrick
ソース

2

LMD（Linux Malware Detection）、rfxn.com / projects / linux - malware - detect-サイトを使用するためにWebアプリケーション（HTML、PHP、JavaScriptファイルの変更）に感染するマルウェアの種類をスキャンすることを忘れないでくださいSEOスパム、フィッシング、訪問者のPCへの感染など

— RichVel

3

いいえ、あなたは十分に行きませんでした。

1）mod_securityのようなWebアプリケーションファイアウォールが必要であり、それらをログに記録するだけでなく、攻撃をブロックするように構成されていることを確認してください。

2）phpsecinfoで phpをロックダウンします。

3）WebアプリケーションのMySQLアカウントをロックダウンし、アプリケーションにFILE権限がないことを確認します。これは、MySQLでこれまでで最も危険な権限です。

4）すべてのUDPおよび不要なすべてのTCPをファイアウォールから外します。sshにポートノッキングを使用することを検討してください。禁止に失敗することは、試行をゼロにすることほどよくありません。

— ルーク
ソース

1）ModSecurityはApacheでのみパッケージ化できるという印象を受けました（nginxを使用しています）。しかし、明らかにスタンドアロンで実行できますか？私はこのおかげで調べなければならないでしょう！私が続いてきた calomel.org/nginx.htmlいくつかの機能のために。

— アーロン

4）sshポート、https、またはhttps（着信、発信）でない限り、すべての着信および発信トラフィックをブロックするためにiptablesを使用します。私が行くにつれて、私はより多くを開きます。ただし、ポートノッキングはsshの興味深い追加機能です。再度、感謝します！。

— アーロン

@Aaronなぜnginxを使うのか分かりません。apache + mod_securityをプロキシとして使用して、奇妙で機能のないhttpdを使用することができます。

— 2010年

2

おそらくAIDEをWebサーバーに安全にインストールできます。顧客を追加したり削除したりしても、あまり多くの構成ファイルが変更されることはなく、通常のチャットをかなり簡単に除外できます。

しかし、多くのWebサーバーセキュリティガイドで触れられていないことは、/ etc / fstabの/ tmpパーティションでnoexecをオンにする必要があるということです。ホスティングを一般に提供している場合、多くの人があなたの知らないうちに安全でないWebアプリケーションをインストールします（そして、アプリケーションを最新の状態に保つための知識がありません）。そして、基本的にこれらのバグを永久に追いかけます。攻撃者がソフトウェアを保存できる唯一の場所が顧客のホームディレクトリと/ tmpディレクトリであると確認した場合、攻撃者は/ tmpディレクトリを使用できない場合、侵入先を示すリスクを負います。彼らはそれをするのが好きではありません。

これにより、Webホスティングサーバーのセキュリティ問題の大部分が解決されました。

— アーニー
ソース

2

「ようこそ！新しい旅客機に乗って、レストラン、映画館、ジム、サウナ、スイミングプールをお楽しみいただけます。今度はシートベルトを締めて、機長がこのたわごとを空中に持ち込もうとします。」

mod_securityはあなたとサーバーの両方にとって苦痛です。それは空腹なリソースであり、そのルールは真剣に維持する必要があり、それは終わりのない仕事になるでしょう。いいえ、スタンドアロンでもNginxでも機能しません。本当に必要だと思われる場合は、別のプロキシサーバー（Apache、mod_proxy、mod_security）を設定してください。これはDMZとしても機能し、実サーバーを完全に外部に閉じ込めることができ、プロキシーに違反した場合でも何も起こりません。
デーモンとして実行すると、ClamAVも非常に重くなります。Cronから非アクティブな時間帯に定期的にclamscanを実行することをお勧めします。
Tripwireはやりすぎです。しかし、ルートキットを見つけ出すことができる何かが役に立つでしょう、たくさんのスクリプト（rkhunter、chkrootkit）があります。
ルートキットなどの少なくとも90％は、開発者Windowsマシンからのアップロードを介してサーバーに到達すると思います。これを防ぐには、開発者にWindowsを使用しないよう強制することを除いて、本当に良い方法はありません。ほとんどのトロイの木馬はFTP資格情報を検索するため、FTPを使用しないでください。

— モキット
ソース

知っておきたいこと...私がApacheのルートをとるつもりがないことを考えると、nginxで見つけることができるあらゆるセキュリティの側面に固執します。おそらく、clamscan / rkhunterのルートも利用することになります。ヒントをありがとう！

— アーロン

0

一般的なCMSエンジン（Wordpress、Jomlaa、Drupal）でキャプチャフォーム保護を使用することは、セキュリティ対策と見なされていますか？はいの場合、これらを使用できます：

— affanzbasalamah
ソース

アンチスパム保護？はい。しかし、ここでは作者は、許可されていないユーザーに対してサーバーをロックダウンしたいと考えています。