ওয়েব সার্ভার সিকিউরিটি ওভারকিল?

9

আমি একটি লিনাক্স ওয়েব সার্ভার সুরক্ষিত করার জন্য "বিস্তৃত" গবেষণা করছি। "বেসিক" হিসাবে বিবেচনা করা হয় তার শীর্ষে (অব্যবহৃত পরিষেবাগুলি অপসারণ, এসএনএস, আইপটবেবলস ইত্যাদি) অ্যান্টি-রুটকিটস (ট্রিপওয়ায়ার) এবং একটি অ্যান্টি-ভাইরাস (ক্ল্যামএভি) অন্তর্ভুক্ত করা কি বুদ্ধিমানের কাজ? এগুলি কি কেবল একটি ওয়েব সার্ভারের জন্য ওভারকিল? আমি জানি এটি খুব অস্পষ্ট প্রশ্ন, তবে আমি অন্যের মতামত সম্পর্কে আগ্রহী।

আমার ভবিষ্যতের পরিবেশ: - উবুন্টু 10.04 - ফেল2ban - এনগিনেক্স 0.8.x - পিএইচপি 5.3.x (সুহসিন, এপিসি, মেমক্যাচড) - মংডব 1.6.x

সম্ভাব্য অ্যাপ্লিকেশন: - ওয়েব পরিষেবাদি - ব্যবহারকারীর আপলোড (ছবি, পিডিএফ, ইত্যাদি) সহ ওয়েব অ্যাপস - সাধারণ ওয়েবসাইট (ফর্ম ইত্যাদি)

আপনার যদি অন্য কোনও টিপস থাকে তবে দয়া করে বিনা দ্বিধায় যোগ করুন!

ধন্যবাদ

linux  security  clamav  tripwire 
হারুন
সূত্র

উত্তর:

8

জনসাধারণের মুখোমুখি সার্ভারের জন্য আমি বলব ট্রিপওয়্যারের মতো কিছু ইনস্টল করা ওভারকিল নয়।

ক্ল্যামএভিও আলাদা বিষয়। আমি এটি সেট আপ করার বিষয়ে বিবেচনা করব যে যদি আপনার দর্শক আপলোড করে এবং আপনার ওয়েবসাইট থেকে ডাউনলোড করে ফাইলগুলি ভাগ করে নেবে । পিডিএফগুলিতে শোষণ থাকতে পারে।

সর্বজনীন মুখোমুখি সার্ভারগুলিতে, আমার কাছে এসএসএইচ পাসওয়ার্ড প্রমাণীকরণের অনুমতি দেয় না, কেবল সর্বজনীন-কী প্রমাণীকরণ। যদি এসএসএইচ কেবলমাত্র কোনও অভ্যন্তরীণ ল্যান থেকে সম্ভব হয় তবে আপনি এটি শিথিল করতে পারেন।

যেখানে সম্ভব সেখানে আমি সার্ভারটি একটি ডিএমজেডে রেখেছি যাতে এটি আপনার অভ্যন্তরীণ ল্যানে অন্য কোনও কম্পিউটারের সংযোগের সূচনা করতে না পারে।

RedGrittyBrick
সূত্র
2
এলএমডি (লিনাক্স ম্যালওয়্যার সনাক্তকরণ), rfxn.com/projects/linux-malware-detect ভুলে যাবেন না - আপনার সাইটটি ব্যবহারের জন্য ওয়েব অ্যাপ্লিকেশনগুলিকে (এইচটিএমএল, পিএইচপি, জাভাস্ক্রিপ্ট ফাইল পরিবর্তনগুলি) সংক্রামিত এমন ম্যালওয়ারের জন্য এটি স্ক্যান করে এসইও স্প্যামিং, ফিশিং, দর্শকদের পিসি, ইত্যাদি সংক্রমণ
RichVel
3

না, আপনি এতদূর যাননি।

1) আপনার মোড_সিকিউরিটির মতো একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল দরকার এবং এটি নিশ্চিত করুন যে এটির আক্রমণগুলি ব্লক করতে কনফিগার করা হয়েছে, কেবল লগইন নয়।

2) পিএইচপি লক ডাউন পিএইচপিসিনফো দিয়ে

3) আপনার ওয়েব অ্যাপ্লিকেশনটির মাইএসকিউএল অ্যাকাউন্টটি লক ডাউন করুন, আপনার অ্যাপ্লিকেশনটির কোনও FILEবিশেষাধিকার নেই তা নিশ্চিত করুন , এটি এখন পর্যন্ত মাইএসকিউএল-এর মধ্যে সবচেয়ে বিপজ্জনক।

4) আপনার দরকার নেই এমন সমস্ত ইউডিপি এবং সমস্ত টিসিপি ফায়ারওয়াল বন্ধ করুন। Ssh এর জন্য পোর্ট নোকিং ব্যবহার বিবেচনা করুন। নিষেধাজ্ঞায় ব্যর্থতা শূন্য প্রচেষ্টা পাওয়ার মতো প্রায় ভাল নয় ।

দাড়কাক
সূত্র
1) আমি এই ধারণার মধ্যে ছিলাম যে ModSecurity কেবলমাত্র অ্যাপাচি (আমি এনজিনেক্স ব্যবহার করছি) এর সাথে প্যাকেজ করা যেতে পারে। তবে দৃশ্যত এটি কি এককভাবে চালানো যায়? আমি এই ধন্যবাদ দেখতে হবে! আমি কয়েকটি বৈশিষ্ট্যের জন্য calomel.org/nginx.html অনুসরণ করেছি ।
অ্যারন
4) আমি আমার এসএস পোর্ট, https বা https (আগত, বহির্গামী) না হওয়া পর্যন্ত সমস্ত ইনকামিং এবং আউটগোয়িং ট্র্যাফিক ব্লক করার জন্য আইপটবেলগুলি ব্যবহার করি। আমি পাশাপাশি যেতে আরও খুলতে হবে। যদিও পোর্ট নোকিং এসএসএসের জন্য একটি আকর্ষণীয় সংযোজন, যদিও! আবার ধন্যবাদ!.
হারুন
অ্যারন আমি নিশ্চিত না আপনি কেন এনজিনেক্স ব্যবহার করবেন। আপনি যা কিছু অদ্ভুত এবং বৈশিষ্ট্যযুক্ত httpd ব্যবহার করার দাবি করেছেন তার সাথে প্রক্সি হিসাবে অ্যাপাচি + মোড_সিকিউরিটি ব্যবহার করতে পারেন।
রক
2

আপনি সম্ভবত কোনও ওয়েব সার্ভারে নিরাপদে এইডই ইনস্টল করতে পারেন - গ্রাহকদের যুক্ত করা এবং মুছে ফেলা খুব বেশি কনফিগারেশন ফাইল পরিবর্তন করে না এবং আপনি সম্ভবত খুব সহজেই সাধারণ বকবককে ফিল্টার করে ফেলতে পারেন।

তবে এমন অনেক কিছু যা ওয়েব সার্ভারের সুরক্ষা গাইডগুলির উল্লেখ না করে তা হ'ল আপনাকে / etc / fstab এ / tmp পার্টিশনটি নেক্সেক চালু করা উচিত। আপনি যদি জনসাধারণের কাছে হোস্টিংয়ের প্রস্তাব দিচ্ছেন, তবে অনেক ভাল লোক আপনার অজান্তেই নিরাপদ সুরক্ষিত ওয়েব অ্যাপ্লিকেশন ইনস্টল করবে (এবং তাদের প্রয়োগগুলি আপ টু ডেট রাখার জন্য নিজেরাই জ্ঞান নেই) এবং আপনি মূলত এই বাগগুলি চিরতরে পিছনে তাড়া করছেন। যদি আপনি নিশ্চিত হন যে আক্রমণকারী কেবলমাত্র সফটওয়্যারটি সংরক্ষণ করতে পারে তবে তা হ'ল গ্রাহকের হোম ডিরেক্টরি এবং / টিএমপি ডিরেক্টরি, তবে আক্রমণকারী যদি তারা / টিএমপি ডিরেক্টরি ব্যবহার করতে না পারে তবে তারা কোথায় ভেঙে দিচ্ছে তা আপনাকে দেখানোর ঝুঁকি নিয়ে চলে। তারা এটা করতে পছন্দ করে না।

এটি করার ফলে আমাদের ওয়েব হোস্টিং সার্ভারে থাকা সর্বাধিক সুরক্ষা সমস্যার সমাধান হয়েছে।

Ernie
সূত্র
2

"জাহাজে স্বাগত! আমাদের নতুন বিমানের বোর্ডে আপনি রেস্তোঁরা, সিনেমা, জিম, সোনার এবং সুইমিং পুল উপভোগ করতে পারবেন your

  1. মোড_সিকিউরিটি আপনার এবং সার্ভার উভয়েরই জন্য ব্যথা। এটি ক্ষুধার্ত সংস্থান এবং এর নিয়মগুলির গুরুতর রক্ষণাবেক্ষণ প্রয়োজন এবং এটি একটি নিকটবর্তী কাজ হতে চলেছে। এবং না, এটি স্বতন্ত্র বা Nginx এর সাথে কাজ করে না। আপনার যদি মনে হয় আপনার সত্যই এটির প্রয়োজন আছে তবে আলাদা প্রক্সি সার্ভার সেটআপ করুন (অ্যাপাচি, মোড_প্রক্সি, মোড_সিকিউরিটি)। এটি ডিএমজেড হিসাবেও কাজ করে, আপনার আসল সার্ভারগুলি পুরোপুরি বাইরের জগতে বন্ধ করা যেতে পারে এবং যদি প্রক্সিটি লঙ্ঘিত হয় তবে যাইহোক কিছুই নেই।

  2. ডিমন হিসাবে চালানো হলে ক্ল্যামএভিও খুব ভারী। ক্রোন থেকে অ-সক্রিয় সময়কালে সময় সময় ক্ল্যামস্ক্যান চালানো ভাল।

  3. ট্রিপওয়ায়ার ওভারকিল, আইএমএইচও। তবে রুটকিটস অনুসন্ধান করতে সক্ষম কিছু কার্যকর হবে, প্রচুর স্ক্রিপ্ট রয়েছে (rkhunter, chkrootkit)।

  4. আমি বিশ্বাস করি যে কমপক্ষে 90% রুটকিটস ইত্যাদি ডেভস উইন্ডোজ মেশিন থেকে আপলোডের মাধ্যমে সার্ভারে পাবেন। এটি প্রতিরোধের সত্যিকারের ভাল উপায় নেই কারণ ডেভসকে কখনও উইন্ডোজ ব্যবহার করতে বাধ্য করা। বেশিরভাগ ট্রোজান এফটিপি শংসাপত্র অনুসন্ধান করে, তাই কখনও এফটিপি ব্যবহার করবেন না।

moskit
সূত্র
জেনে রাখা ভাল ... অ্যাপাচি রুট নিয়ে যাওয়ার আমার কোনও উদ্দেশ্য নেই বিবেচনা করে, এনজিএনএক্সের জন্য আমি যে কোনও সুরক্ষা দিক খুঁজে পেতে পারি I'll আমি সম্ভবত ক্ল্যামস্ক্যান / রাখুন্টার রুটটিও শেষ করব। টিপস জন্য ধন্যবাদ!
অ্যারন
0

জনপ্রিয় সিএমএস ইঞ্জিনে ক্যাপচা ফর্ম সুরক্ষা ব্যবহার করা (ওয়ার্ডপ্রেস, জোমলা, দ্রুপাল) সুরক্ষা অনুশীলন হিসাবে বিবেচনা করা হয়? যদি হ্যাঁ, তবে আপনি এগুলি ব্যবহার করতে পারেন:

affanzbasalamah
সূত্র
এন্টি স্প্যাম নিরাপত্তা ? হ্যাঁ. তবে এখানে লেখক অননুমোদিত ব্যবহারকারীদের বিরুদ্ধে তাঁর সার্ভারটি লক করতে চান, যা ক্যাপচার সাথে কিছুই করার নেই।
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.