Dites que j'ai une nouvelle installation d'Ubuntu, quelles étapes dois-je suivre pour la sécuriser afin de l'utiliser comme serveur d'application Rails ?
Je ne peux pas penser à des ajustements spécifiques à Ubuntu, mais voici quelques-uns qui s'appliquent à toutes les distributions :
Bien sûr, cette liste n'est pas exhaustive, et vous ne serez jamais complètement en sécurité, mais elle couvre toutes les exploitations que j'ai vues dans la vie réelle.
Aussi, les exploitations que j'ai vues étaient presque toujours liées à un code utilisateur non sécurisé, et non à une configuration non sécurisée. Les configurations par défaut dans les distributions minimales et serveur ont tendance à être assez sécurisées.
Changer le port pour des services comme MySQL (inutile s'il est configuré pour utiliser uniquement les sockets), FTP (bien que, si vous êtes sécurisé, vous ne devriez pas du tout utiliser FTP), SSH et autres.
"Désinstallez tous les packages inutiles". OK. C'est assez vague. Quels packages sont considérés comme 'inutiles' ?
@Luke: Tout ce que vous n'utilisez pas est inutile. Plus précisément, les services en cours d'exécution dont vous n'avez pas besoin mettent les machines en danger inutilement.
Une chose rapide que je fais tôt est d'installer DenyHosts. Il examinera régulièrement le /var/log/secure, à la recherche des échecs de connexion, et après quelques échecs, bloquera l'IP. Je le configure pour bloquer après le premier utilisateur-inexistant, à la deuxième tentative de root, et après quelques tentatives pour les vrais utilisateurs (au cas où vous vous tromperiez, mais vous devriez utiliser une clé publique SSH pour vous connecter).
En liant vers la page d'accueil de sourceforge - denyhosts est également disponible dans le référentiel (univers) via "sudo aptitude install denyhosts"
Bon point @olaf. La plupart des serveurs sur lesquels je l'ai installé étaient sur RHEL, où il se trouve également dans le dépôt DAG.
Ubuntu est basé sur Debian et j'ai trouvé le Manuel de sécurisation de Debian très utile dans les distributions basées sur Debian en vous guidant complètement à travers votre système et en vérifiant chaque partie. C'est fondamentalement une réponse très, très complète à votre question.
Désolé, j'ai pensé que le lien était dans le message. C'est à : debian.org/doc/manuals/securing-debian-howto
Je installe généralement RKHunter, qui recherche les rootkits et effectue des vérifications d'intégrité de divers binaires système importants. Il se trouve dans le dépôt standard et s'exécutera quotidiennement à partir de cron. Ce n'est pas parfait en termes de sécurité, mais c'est un élément peu contraignant à ajouter, et il offre une certaine mesure de protection.
Installez logcheck, mais ajustez-le de sorte que vous ne receviez jamais de messages des événements réguliers, sinon vous aurez tendance à ignorer les emails.
Vérifiez quels processus écoutent en utilisant netstat, et assurez-vous qu'aucun processus ne fonctionne inutilement. De nombreux démons peuvent être configurés pour écouter uniquement sur l'IP interne (ou localhost) au lieu de toutes les interfaces.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
0 votes
Il y a une question similaire ici, cela pourrait aider; serverfault.com/questions/11659