Безопасность веб-сервера

0

2

Добрый день.

Решил сменить унылый шаред-хостинг на VPS с нескучными обоями и перенести туда все свои (аж целых 4) сайта. Но т.к. я ничего в этом не понимаю, то возникли вопросы по безопасности.

Я сам веб-макака и видел воочию как рутанули один из клиентских серверов. В данном случае, наверное, или брутфорс или пароль утек. Но вопрос остается открытым - что этакого поставить на сервер, чтобы мониторить его состояние, проверять бекдоры, банить брутфорсеров и так далее?

Если с последним еще более или менее понятно (rkhunter, fail2ban), то совсем непонятно - как мониторить сервак? Например, я создал пользователя и дал его другому разрабу. Как мне узнать что он делал? Как быть уверенным, что он не сделал чего-то «плохого»? Как вообще быть уверенным, что кто-нибудь не положил что-нибудь злое в какой-нибудь дальний уголок в системе?

В общем, я сумбурно спросил как-то, т.к. не понимаю толком чего спрашивать. Помогите добрыми советами, пожалуйста.

Ссылка

←	Прокси с аутентификацией.

Постгри после крушения raid 10

→

Для начала не давать прав больше, чем нужно.

Radjah ★★★★★
(22.04.16 18:21:40 MSK)

Ссылка

Разрабу выдать доступ к отдельному dev/staging серверу, обкатывать код там, а после аудита изменений, на продакшн выкатывать новую версию кода должны вы (или, более обще, доверенный персонал со спецдопуском).

Вы можете мониторить события логинов (надо кастомизировать PAM-правила либо конфиги syslogd).

Для дополнительной защищённости от неожиданных событий подключите SELinux, правда, это серьёзный и поэтапный процесс.

Andrey_Utkin ★★
(22.04.16 20:42:05 MSK)
Последнее исправление: Andrey_Utkin 22.04.16 20:42:52 MSK (всего исправлений: 1)

Ссылка

http://www.nestor.minsk.by/kg/2010/05/kg00512.html

~~Deathstalker~~ ★★★★★
(22.04.16 20:43:31 MSK)

Ссылка

чтобы сильно не вникать можно просто взять и установить ispconfig/webmin или чето там еще. И сверхну накинуть fail2ban

Насколько я помню там по дефолту создаются виртуалхосты которые запускаются от отдельных пользователей.

Если этого мало можешь прочитать про Selinux.

Если и этого мало можешь углубится в snort/suricata, но это уже более серьёзный уровень.

snaf ★★★★★
(23.04.16 11:54:32 MSK)
Последнее исправление: snaf 23.04.16 11:58:30 MSK (всего исправлений: 2)

Ответ на: комментарий от snaf 23.04.16 11:54:32 MSK

видел воочию как рутанули один из клиентских серверов

чтобы сильно не вникать можно просто взять и установить ispconfig/webmin

Это как протянуть пакетик юпи в пустыне страдающему от жажды.

to ТС, если есть деньги, найми админа, если нет, и хочешь по простому - обложись бэкапами, только проверь что из них можно получить то что нужно, когда заметишь, что что-то пошло не так. Потому что ответ на вопрос

Как вообще быть уверенным, что кто-нибудь не положил что-нибудь злое в какой-нибудь дальний уголок в системе?

- никак, более того, можешь быть уверенным в обратном. Любой кусок кода может случайно или намеренно содержать уязвимости и закладки, начиная с момента его разворачивания.

handbrake ★★★
(23.04.16 14:57:47 MSK)

Никакого доступа к prod-серверу всем подряд! Обязательно промежуточный тест-сервер. Он стоит копейки, не скупитесь. И каждый мало-мальский коммит должен еще на этапе _сборки_ провериться компетентным человеком.
Ну я уж не говорю о том, что все нужное ПО на prod-е также должно устанавливаться только админом, и по запросу. Максимум что можно (при _крайней_ необходимости!) это ftp-доступ обложенный со всех сторон chroot-ами и без прав на выполнение.
Иначе, если у вас в команде хотя-бы 5-6 человек которые активно пушат весь рабочий день (еще если и сливает все не один человек), и в какой-то момент все покатится в [censored] (неважно, это могут быть и не намеренные действия), вы рискуете никогда не откопать виновного. Или потратить на это столько времени, что через сутки анализа логов и прочих танце с бубном вам уже расхочется кого-то искать и проще будет выкатиться из облаков.

znenyegvkby ★
(23.04.16 15:21:36 MSK)