Securitate si intretinere server

[Dan]

As avea nevoie de cateva informatii de baza (gratis ) despre securitatea unui server/vps/vds.

Cazul meu: debian7 + nginx (reverse proxy) + apache + php (latest) (+APCu+memcache - daca conteaza)

Din cunostintele mele si din ce am citit, am ajuns la concluzia ca e "bine" sa instalez, pentru securitate, urmatoarele:
- fail2ban
- csf

Ambele sunt cu configuratiile "default". Porturile deschise in csf sunt: 20,21,22,25,53,80,110,143,443,465,587,993,995,8080
In cazul meu particular, din "afara" am acces doar catre 80 si 443, dar sunt interesat in general daca este OK asa default.

Ca metode de izolare pentru virtual hosts (daca cineva imi sparge un site sa zicem si nu vreau sa ajunga si la celelalte) am inteles ca cea mai buna metoda este virtualizarea. Dar mi se pare putin greoaie (am multe site-uri mici gazduite si nu m-am gandit cum sa le impart), asa ca sunt in cautarea altei solutii. Ce functioneaza in cazul vostru? Sau ce solutie ati ales pentru izolare?


Apoi, avand in vedere cunostintele mele limitate in domeniu, va rog sa ma sfatuiti si cu alte metode de securizare a serverului pe care le pot aplica (softuri, configuratii)
----------

Iarasi, nu stiu nimic despre mentenanta. In afara de backups, logrotate, fstrim si update-uri la zi, nu stiu (si as vrea sa aflu) la ce ar mai trebui sa fiu atent.


Orice sfat si sugestie imi este de mare ajutor si sunt convins ca ii poate ajuta si pe altii.
Multumesc anticipat

[IulianC]

Orice sfat si sugestie imi este de mare ajutor si sunt convins ca ii poate ajuta si pe altii.
Multumesc anticipat

E ok sa postez urmatorul link ? Honeypot artillery / Forumul Ubuntu România

Honeypot(=momeala, borcan cu miere) este o tehnica destul de buna, prin care un administrator, poate incerca sa "atraga" potentialele atacuri catre niste sisteme(soft in cazul de fata) special setate incat sa fie "usor atacabile". Partea buna, este ca atactorul odata ce a accesat un astfel de sistem, nu mai poate ataca alte siteme/servicii. Acesta blocare se face de regula automat de catre sistemul honeypot.

Un honeypot emuleaza un serviciu(artillery) sau un host sau chiar o retea intreaga(hosturi multiple gen linux/unix/windows, routere, latente si chiar pierderi de pachete - honeyd este unul din ele). Pe scurt se fac mii de tinte fara valoare, printre care exista sitemele reale, in ideea ca sansa de ataca din prima incercare o masina reala sa fie = /dev/null. Adica ai 10 sisteme reale printre alte mii de sisteme tip honypot. Odata ce ai ratat o tinta reala din alea cateva mii, esti blocat .... si a 2-a incercare nu va mai exista.

[Dan]

@Iulian - e interesant, am mai citit asta, dar nu prea inteleg cum m-ar putea ajuta (in cazul unui dedicat/vps/vds). Eu am un server expus la net cu un singur IP. Tinta e simpla, nu vad unde as ascunde-o.

[gupi]

PS: daca îmi permiți, putem pregăti un "atac" care să evalueze potențialele vulnerabilități ale site-ului; detalii pe privat.

[Ciprian.Olaru]

majoritatea (mare) a atacurilor se intampla pe porturile standard.
nu lasa ftpul pe 21, mysqlul pe 3306, etc.

[gupi]

Salutare, uite cateva reguli valabile oricand:

- opreste toate serviciile nefolosite;
- lasă în CSF accesibile din exterior sre interior doar porturile necesare (ex: 80, 443)
- adaugă în /etc/csf/csf.allow adresa ta IP de acasă (sau clasa de aderse IP ce o cuprinde), pentru a avea acces ssh pe server, chiar daca e blocat implicit in csf
- mentine toate aplicatiile web (site-ul) actualizat in permanență (ex. Wordpress update)
- idem pentru server (apt-get upgrade)
- fă-ți un obicei din a face un backup inainte de orice modificare (vezi punctele de mai sus)
- seteaza un backup automat al site-ului in afara datacenterului (prerabil la alt provider) si pastreaza ultimele xxxx versiuni; numarul de versiuni salvate il determini dupa costurile necesare de backup;
- daca iti permiti un sistem de DRP (disaster recovery plan), implementeaza-l; daca nu, incearca sa-ti definesti o procedura de redefinire a serverului, just in case; (atentie, backup-ul NU este DRP)
- umareste periodic log-urile de eroare ale site-ului; iti pot dezvalui atacuri in desfasurare


Asta e, spus repede-repede.

[Dan]

@Ciprian Olaru - Am inteles asta, o sa modific porturile standard, cu toate ca am inteles ca ajuta doar intr-o mica masura.
Ex. Seopedia: https://www.shodan.io/host/91.210.80.33
E usor de aflat ce port e deschis si pentru ce anume.

@Gupi - in prezent sunt deschise (la mine) porturile 25, 80 si 443... am facut cu gri pentru ca am mai multe Dar da, incercam.

[Ciprian.Olaru]

E usor de aflat ce port e deschis si pentru ce anume.

de acord, dar in multe atacuri nu esti targetat direct, ci ti se intapla doar pentru ca erai prin zona.
asa macar te mai feresti de gloante ratacite.

[Dan]

asa macar te mai feresti de gloante ratacite.

Total de acord.
Cel mai bine stau inchise porturile alea aca am optiunea sa administrez local.

@gupi - Intrebare: portul 25 nu este cumva necesar pentru email? Adica daca vreau ca serverul sa poata trimite mailuri, nu o face pe portul 25? Sau am citit eu aiurea?
(sa nu radeti de mine daca vorbesc prostii)

[gupi]

Ca sa poti trimite emailuri, trebuie sa ai deschise porturile OUTBOUND
Ca sa poti primi emailuri, trebuie sa ai deschise porturile INBOUND

(e valabil la orice serviciu, de altfel)