wv-
31/05/05, 13:37
Opvolging van http://www.webhostingtalk.nl/showthread.php?s=&threadid=70715 (om thread niet te vervuilen)
Origineel geplaatst door Bob2
K, is hier geen advertentie forum... Maar goed, nu we het er toch over hebben, wat doen jullie dan precies om een systeem te securen?
Onderstaand een stukje uit mijn lijst:
tmp dir protection
Geen onnodige services / porten open
System tools alleen voor root
Mod_security voor httpd server
Signatures van httpd en dns uit
SSH hardening (apart ip, root loggin off etc etc)
Goede firewal config
Dagelijkse scan van chkrk en rkhunter
Gebruik prosess monitoring tools
In de php ini disable_functions system,exec, safe_mode on + nog aantal
Syctl aanpassingen tegen ddos
up2date blijven(het volgen van mailing lists)
* safe mode = slechte manier van security, een gebruiker laat je best niets executen op een UID van iemand anders / een gedeelde UID zoals de apache user.
* mailinglists volgen zoals bugtraq / full-disclosure
* kernel altijd updaten, ook bugs die 'normaal' exploitable zijn voor local users kunnen misbruikt worden door web users.
* een aparte chroot / jail gebruiken voor web users waar apache / php in staat. Zo kan je op een goede manier
* kernel patchen met bvb grsecurity, goede logging
* logging is nog apart punt: logging naar andere server sturen... als server gehackt wordt heb je nog altijd de logs.
* Tenslotte (want er staat nog heel veel niet in) kan je de debian security howto is volgen, daar staat heel veel nuttige informatie in per daemon wat je zoal kan doen
// edit
SSH hardening: staan ook goeie dingen in die debian security howto. Nog beter is naast een apart ip, een andere poort te gebruiken, het verbieden van gewone wachtwoorden en alleen keys accepteren.
dagelijkse scan: aanvulling, logwatch, aide, ...
up to date blijven: vooral dit blijkt een groot probleem te zijn voor de meeste mensen. Je moet echt moeite doen om je systeem up to date te houden. De keuze van een goede distributie is hier cruciaal. Bij sommige distributies duurt het namelijk zeer lang vooraleer er een patch uitkomt.
// edit2 :
Een goed programmatje om je server (best niet in prodcutie dan) te testen is nessus (www.nessus.org)
Origineel geplaatst door Bob2
K, is hier geen advertentie forum... Maar goed, nu we het er toch over hebben, wat doen jullie dan precies om een systeem te securen?
Onderstaand een stukje uit mijn lijst:
tmp dir protection
Geen onnodige services / porten open
System tools alleen voor root
Mod_security voor httpd server
Signatures van httpd en dns uit
SSH hardening (apart ip, root loggin off etc etc)
Goede firewal config
Dagelijkse scan van chkrk en rkhunter
Gebruik prosess monitoring tools
In de php ini disable_functions system,exec, safe_mode on + nog aantal
Syctl aanpassingen tegen ddos
up2date blijven(het volgen van mailing lists)
* safe mode = slechte manier van security, een gebruiker laat je best niets executen op een UID van iemand anders / een gedeelde UID zoals de apache user.
* mailinglists volgen zoals bugtraq / full-disclosure
* kernel altijd updaten, ook bugs die 'normaal' exploitable zijn voor local users kunnen misbruikt worden door web users.
* een aparte chroot / jail gebruiken voor web users waar apache / php in staat. Zo kan je op een goede manier
* kernel patchen met bvb grsecurity, goede logging
* logging is nog apart punt: logging naar andere server sturen... als server gehackt wordt heb je nog altijd de logs.
* Tenslotte (want er staat nog heel veel niet in) kan je de debian security howto is volgen, daar staat heel veel nuttige informatie in per daemon wat je zoal kan doen
// edit
SSH hardening: staan ook goeie dingen in die debian security howto. Nog beter is naast een apart ip, een andere poort te gebruiken, het verbieden van gewone wachtwoorden en alleen keys accepteren.
dagelijkse scan: aanvulling, logwatch, aide, ...
up to date blijven: vooral dit blijkt een groot probleem te zijn voor de meeste mensen. Je moet echt moeite doen om je systeem up to date te houden. De keuze van een goede distributie is hier cruciaal. Bij sommige distributies duurt het namelijk zeer lang vooraleer er een patch uitkomt.
// edit2 :
Een goed programmatje om je server (best niet in prodcutie dan) te testen is nessus (www.nessus.org)