Herkese açık bir sunucuyu yönetmeden önce her sistem yöneticisi ne bilmelidir?

10

Stack Overflow'daki bu soruya benzer şekilde , özel, intranet tipi durumlara alışkın olan bir sistem yöneticisi, genel bir sitenin yöneticisi olmadan önce ne bilmelidir?

Bunlar telnet, " izni açık bırakma" gibi güvenlikle ilgili şeyler veya yüksek trafikli bir site için yük dengelemenin nasıl yapılacağı gibi pratik şeyler olabilir.

security 
Zifre
kaynak

Yanıtlar:

12

  • Her uygulama, her ikili, sunucuda bulunan her paket bir yükümlülüktür. 'En az bit' prensibine abone olun; yüklü değilse, ödün verilemez.

  • Tripwire veya benzeri gibi saldırı tespitini uygulayın ve sık sık tarayın.

  • Bir donanım güvenlik duvarına yatırım yapın ve yalnızca uygulamanız için gereken bağlantı noktalarını açın. Yönetim bağlantı noktalarınızın (ssh, rdp vb.) Genel olarak görünür olmasına izin vermeyin; bunları onaylanmış yönetim IP adresleriyle sınırlandırın.

  • Üretime başlarken güvenlik duvarı / anahtar / yönlendirici yapılandırmalarınızın yedeklerini alın. Bu cihazlardan biri tehlikeye girerse, cihazın beynini silerek ve yapılandırmayı yeniden yükleyerek iyileşmek, saat ilerlerken yapılandırmanın satır satır denetimini gerçekleştirmekten çok daha hızlıdır.

  • Yeni bir bağlantı noktasının açılmadığından emin olmak için ortamınızı dışarıdan sık sık eşleyin.

  • Asla internete güvenmeyin; ağa hizmet ettiğiniz her ne olursa olsun olabildiğince güvenli olduğundan emin olun (örneğin SQL enjeksiyon saldırılarını durdurmak için sunucu tarafı giriş doğrulaması ve dezenfeksiyonu gerçekleştirin).

  • Yamalarınızın üstesinden gelin.

  • Eğer tehlikeye düştüyseniz, yeni indirilen medyayla sıfırdan yeniden oluşturun. Artık yedeklerinizin güvenli olduğuna ve inert, çalıştırılamayan veriler dışındaki herhangi bir şey için (tripwire buna yardımcı olsa da) tehlikeye atılmadığına güvenemezsiniz.

Greg Work
kaynak
1
Yapılandırmayı yedeklemek ve silmek için +1. Ayrıca, mümkünse, silme işleminin yapılmasına izin veren ve yine de sunucunun bütünlüğünden ödün vermeyecek şekilde "başka bir yerde" depolanan verileri almaya çalışın.
Avery Payne
4

Ağ sertleştirme için kullanışlı bulduğum bir araç nessus

Temel olarak, harici bir sunucuda kurdunuz ve bilinen istismarlardan oluşan bir saldırıyla ağınıza saldırmaya çalışıyor . Güvenli mod için (saldırıların hiçbirinin sunucunuzu çökmemesinin gerektiği yerde) ayarlayabilir veya güvenli olmayan mod için her şeyin yamalı olduğundan eminseniz ya da gerekirse sunucularınızı yeniden başlatabilirsiniz .

Daha sonra, bulduğu güvenlik açıklarının / zayıflıklarının ne olduğunu görebildiği ve önem derecesine göre derecelendirebildiği her makine için çok eksiksiz bir derecelendirilmiş rapor sunacak ve hatta sorunları çözmek için yapılması gerekenleri önerecektir .

Brent
kaynak
3

Yedekleme ve felaket kurtarma sistemlerinin nasıl çalıştığını ve tehlikeye düştüğünde / bozulduğunda sistemi nasıl kurtaracaklarını bilmelidirler.

Zoredache
kaynak
1
Aptalca gelebilir, ancak aslında yılda bir veya iki kez yedeklemelerden bir sistem geri yüklemesi yapmak, prosedürünüzdeki (veya tamamen kırık bir sistem) zayıf noktaları işaret etmede paha biçilmezdir, aksi takdirde tüm gözler açıkken acil bir duruma kadar tespit edilemez. you
Brent
3

Bu biraz ters, ama güvenlik açısından ben bir iç sunucu ve bir dış sunucu arasında ayrım yapmıyorum. Er ya da geç bir kişi bir güvenlik duvarında bir hata yapacak, yönetim bir sunucunun önemli bir müşteri nedeniyle maruz kalmasında ısrar edecek, Muhasebede Betty bir şekilde enfekte ev makinesinde bir vpn istemcisi alacak.

Bununla birlikte, katmanlar arkadaşınızdır ve varsayılan olarak kara listeye almanız gerekir.

Katmanlar - birden fazla güvenlik katmanınız olmalıdır. Örneğin, bir donanım güvenlik duvarı ve bir yazılım güvenlik duvarı. Bunlar teorik olarak aynı amaca hizmet eder, ancak birden fazla katmana sahip olmak hatalara karşı korur ve tek bir katmanın istismar edilmesinin sonuçlarını azaltır.

Katmanlamanın bir başka yönü, esasen çoklu DMZ olan "ev tipi kompostlama" dır. Bir noktada, makinelerinizle hesaplarınıza erişen kişiler arasında bir miktar güvene sahip olmanız gerekir. Bu etkileşim noktalarını daraltabiliyorsanız, güvendiğiniz trafiği herhangi bir noktada sıkı bir şekilde kontrol edebilirsiniz. Örneğin, arayüz / uygulama sunucularınızı veritabanı sunucularınızdan ayırırsanız, güven düzeyini daraltırsınız. Uygulama sunucularınızın güvenliği ihlal edilirse, bu saldırganlar altyapınız için minimum bir dayanak kazanır (yani, saldırılarına devam etmek ve diğer sunucularınızdan yararlanmaya çalışmak için yalnızca kullanılacak güven noktaları vardır).

Varsayılan olarak kara listeye ilişkin olarak, temelde her şeyi kapatmanız ve açtığınız her bağlantı noktası, erişime izin verdiğiniz kullanıcı adı, yüklediğiniz uygulama vb.

jj33
kaynak
Savunma katmanlarını bir strateji olarak duydum (ve kullandım), ama asla tatlım, harika bir fikir. +1
Avery Payne
3

HERHANGİ BİR ortak arayüze sahip sistemlerde, güvenli bir şifre politikası uygulayarak ve şifre dosyasını kopyalayıcı john gibi bir şifre kırma yardımcı programıyla test ederek kullanıcılarınızın güvenli şifreleri olmasını sağlayın

Birkaç başarısız denemeden sonra IP adreslerini engelleyerek kaba kuvvet parola tahmin saldırılarına karşı daha fazla koruma sağlayabilirsiniz . Bunun için iyi bir araç ( linux'da ) fail2ban

Brent
kaynak
1

Anahtarınız saldırıya uğrayabilir ve biri verileri kurcalayabilir. Anahtarın yoksa, ip güvenlik duvarı başına erişim kısıtlaması yeterli olmayabileceğinden, bir vpn ayarlayın.

Kullanıcıların ve bilgisayar korsanlarının erişmesini istediğiniz bağlantı noktaları dışında herhangi bir bağlantı noktasını açık bırakmayın. Her ay başka bir siteden kendi sunucularınızı tarayın.

Bilgisayar korsanları için ssh'ın varsayılan bağlantı noktasını açık bırakmayın.

Paweł Polewicz
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.