1000 и один вопрос по безопасности сервера

B
На сайте с 06.09.2018
Offline
1
1116

Здравствуйте. Я новичок. Какие шаги предпринять для обеспечения безопасности сервера?

Из того что узнал:

  • хостер только с самостоятельным выбором ОС
  • пароли к админке
  • подключение только с использованием SSH ключей
  • изменить порт SSH по умолчанию
  • настроить Firewall
  • настроить Fail2ban
  • доступ к ftp только по IP
foxi
На сайте с 02.03.2011
Online
877
#1

Еще надо юзать не дырявые скрипты, ну и пхп настроить чтоб если скрипты будут таки дырявые - не позаражались все сайты.

Антибот защита для сайта (https://antibot.cloud/ru.html#searchengines) (защита от кражи контента и спама) | ВебМастерские микроблоги (https://wmsn.biz/#searchengines) | Фокси SEO форум (https://foxi.biz/#searchengines)
Оптимизайка
На сайте с 11.03.2012
Offline
396
#2
bluedanieru:
Здравствуйте. Я новичок. Какие шаги предпринять для обеспечения безопасности сервера?

Возьмите какую нибудь общепринятую политику безопасности (например, CIS) и следуйте ей, для начала. Потом поищите аналогичные по используемым сервисам.

unk CIS_CentOS_Linux_7_Benchmark_v2.1.0.pdf
⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
S
На сайте с 11.05.2018
Offline
7
#3
bluedanieru:
Здравствуйте. Я новичок. Какие шаги предпринять для обеспечения безопасности сервера?

Из того что узнал:
  • хостер только с самостоятельным выбором ОС
  • пароли к админке
  • подключение только с использованием SSH ключей
  • изменить порт SSH по умолчанию
  • настроить Firewall
  • настроить Fail2ban
  • доступ к ftp только по IP

Если у вас просто сервер с сайтом, то достаточно установить надежный пароль для вашего пользователя и запретить авторизацию через SSH под root пользователем(по умолчанию уже запрещено в актуальных версиях популярных дистрибутивов), этого будет вполне достаточно, можно еще защитить SSH от брута, но если пароль надежный и запрещена авторизация под root, то не обязательно, все равно шанс что сбрутят стремится к 0

Lazy Badger
На сайте с 14.06.2017
Offline
186
#4

Пункт 1 - фуфло

Пункт 4 - фуфло

Пункт 7 - фуфло уровня "идиотизм клинический"

А для "обеспечения безопасности сервера", если сам не ферштейн, надо просто "нанять безопасника с репой и заплатить нормальные деньги"

Производство жести методом непрерывного отжига
B
На сайте с 06.09.2018
Offline
1
#5
foxi:
Еще надо юзать не дырявые скрипты, ну и пхп настроить чтоб если скрипты будут таки дырявые - не позаражались все сайты.

Никакой пыхи, только руби и статика.

---------- Добавлено 11.09.2018 в 05:44 ----------

Оптимизайка, спасибо, как раз цент осваиваю.

foxi
На сайте с 02.03.2011
Online
877
#6

LazyBadger, пункт 4 самое нефуфло, он перекрывает остальные пункты касающиеся ssh авторизации на 99.9%, проверено на многолетнем личном опыте. Никто ssh на левых портах сканить не будет, т.к это дольше чем насканить 100500 на других серверах за это время.

S
На сайте с 30.09.2016
Offline
459
#7
foxi:
Никто ssh на левых портах сканить не будет

Спорное заявление. Это может быть не будет сканировать робот, который "на дурняк" сканирует всю сеть по стандартным портам. А если адресно сканировать конкретный сервер - то как-то без разницы, какой там порт. Все открытые порты выявляются за "6 секунд".

Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий