Первичные настройки безопасности на VPS/VDS

Тема в разделе "Хостинг и настройка серверов", создана пользователем X-Shar, 16 мар 2013.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Многие новички когда первый раз покупают свой сервер, настраивают его под свой сайт, при этом совершенно забывая про безопасность своего сервера, а зря очень зря, ведь может случиться такая ситуация, что когда вы зайдёте на свой сайт, то вместо главной страницы, загадочно увидите такое:

    Screen_Shot_2012-01-24_at_8.45.15_AM.

    Так, что безопасности нужно уделить достаточно большое внимание, здесь хочу поделиться советами профессионалов, людей которые профессионально занимаются настройками серверов и IT-безопасности, итак на что нужно обратить внимание:

    1)Пароли: ВСЕ пароли должны-быть сложными и для каждого объекта разные, например: Пароли к базе, пароли к билленгу, ftp должны-быть ОБЯЗАТЕЛЬНО разными !

    2)НИКОГДА не делайте удалённый доступ к базе;

    3)Многие советуют отказаться от apache, но можно использовать различные связки такие как например nginx +apache и другие;

    4)Поставить файервол и запретить доступ ко всем портам, кроме тех, по которым гоняется веб-траффик (Обычно достаточно дать доступ, только к 80 и 81 и 443);

    5)Советую запретить FTP и SSH, сделать доступ только для своего IP-адреса;

    6)Для SSH, можно сделать такой трюк, как изменить порт на нестандартный, это чтобы хакерам жизнь мёдом не казалось;

    7)В операционке отключить ВСЕ не нужные модули, что не нужно, то блокируем и отключаем !

    8)НИКОГДА не делать на папки владельца root, да и вообще ограничить работу под root до минимума;

    9)Защитить папки где располагаются конфигурационные файлы например при помощи .htaccess и ОБЯЗАТЕЛЬНО проверить, что к ним нет доступа !

    10)Ну и проверить стороннии скрипты (Если они есть) на уязвимость, по возможности запрятать их, хакеры очень любят ломать именно через стороннии скрипты !

    11)Не забываем про обновления, профи рекомендуют обновлять примерно раз в 6-ть месяцев операционку, ну и регулярно обновлять скрипты !

    Данные советы не полные, просьба не проходить мимо, а написать ещё свои рекомендации !
     
    • Мне нравится Мне нравится x 4
  2. xatop old root
    xatop
    Ответить в чате

    Форумчанин

    Регистрация:
    13.03.2013
    Сообщения:
    108
    Симпатии:
    359
    Пол:
    Мужской
    Репа:
    +359 / 0 / -0
    Настройте крон на еженедельный ( у меня на з дня ) бекап.
    Не выставляйте в сеть индейца без
    nginx professional services http://nginx.org/ru/
     
    • Мне нравится Мне нравится x 3
  3. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    А у меня вообще ежедневный беккап базы (База маленькая, могу себе позволить), также раз в неделю беккаплю файлы форума !

    И ещё лучше все беккапы делать на специальный сервер, ну и периодически дублировать к себе на комп !wink1
     
    • Мне нравится Мне нравится x 3
  4. xatop old root
    xatop
    Ответить в чате

    Форумчанин

    Регистрация:
    13.03.2013
    Сообщения:
    108
    Симпатии:
    359
    Пол:
    Мужской
    Репа:
    +359 / 0 / -0
    Мой PowerIDGE 300 одноюнитовый, но сервачное железо весьма надежно, поэтому бекапы валятся на соседний диск. RAID не юзаю, просто мониторю железо, за 3 года 1 раз сменил хард. Кто-то может назвать меня за это дурнем, но сервак "белый", гонял с рейдом окло полугода, потом расцепил.
     
    • Мне нравится Мне нравится x 3
  5. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    А я вот, что подумал, поправте меня если ошибаюсь, вот если ко всему выше сказанному ещё поиграть с правами на папки, вот например, если на все папки поставить права 0755, кроме тех, в которых идёт обработка данных, а те папки, где стоят права 777 защитить например при помощи .htaccess !

    Тогда если хакеру даже и получится залить шелл, через уязвимость какого-либо скрипта, то чтобы им воспользоваться, придётся ещё и операционку ломать !sr789

    И ещё, есть ли у кого статьи по настройки файервола, интересует блокировка портов, изменение портов на нестандартный и т.д. !

    Я это всё искал не нашёл, в этоге тех. поддержку попросил, они настроили стенку через консоль !

    И ещё интересно, а можно ли юзать файервол в ISPmanager, что-то форумы почитал мало кто его юзает, обычно предпочитают встроенный в Линукс !
     
    • Мне нравится Мне нравится x 2

Поделиться этой страницей