1

Я создаю свой первый сервер LAMP для использования в качестве сервера удаленного тестирования и в качестве практики для создания веб-сервера.

Я собираюсь использовать Ubuntu Server с Apache2, PHP7, MySQL 5.7, OpenSSL и vsFTPd.

Я понимаю, как устанавливать и использовать LAMP и ftp-стеки сами по себе, но я не знаю, какое еще программное обеспечение мне понадобится для обеспечения его безопасности.

Это будет за Sonicwall, и я читаю эту статью для безопасности пользователей, файлов и каталогов, но она не говорит о защите от вирусов, вредоносного кода и взлома из-за сетевого брандмауэра. Я понимаю, что PHP-код должен позаботиться о многом из того, что я изучаю.

Но нужно ли мне устанавливать какое-либо дополнительное программное обеспечение, такое как Антивирус, брандмауэр и т.д. Помимо стека LAMP и FTP-сервера?

PS Я планирую установить WHM/cPanel и зависимости для того, что я понимаю.

1 ответ1

2

Защита веб-сервера - это большая тема, больше подходящая для книги (или серии книг), чем для ответа на Stack Exchange. С учетом сказанного я коснусь нескольких моментов.

но о чем он не говорит, так это о защите от вирусов, вредоносного кода и перебора из-за сетевого брандмауэра.

Вообще говоря, мы не особо озабочены вирусными инфекциями в Linux. Целевой процент компьютеров намного ниже, системы разрешений (и такие вещи, как SELinux) помогают предотвратить множество проблем, которые могут возникнуть, а установка программного обеспечения только из надежных хранилищ программного обеспечения помогает уменьшить эту угрозу.

Регулярно обновляйте свой сервер, подписывайтесь на список анонсов безопасности Ubuntu и не запускайте ненадежное программное обеспечение. И не отключайте AppArmor.

Общий совет в кругах безопасности заключается в том, что, как только обнаружены какие-либо признаки заражения, вы должны уничтожить (стереть) сервер и начать с нуля, а не пытаться избавиться от какой-либо инфекции. Для этого вам необходимо настроить (и протестировать!) регулярные резервные копии. Также очень хорошая идея использовать инструмент управления конфигурацией (мне нравится Ansible) для всех ваших настроек, а не делать это вручную, чтобы вы могли мгновенно запустить другой сервер.

Последняя рекомендация - установить fail2ban. Чаще всего он используется для защиты от попыток перебора SSH, но он также поставляется с файлами конфигурации для ряда других общих сетевых служб. Если вы используете Ansible, его настройка станет намного проще из-за присутствия включаемых ролей из их репозитория сообщества.

Я должен быть относительно безопасным для неиндексированного веб-сервера

Есть боты, постоянно сканирующие все известное адресное пространство IPv4 для серверов, поэтому вы никогда не должны предполагать, что просто потому, что ваш сервер публично не связан, он не будет найден.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .