Dites que j'ai une nouvelle installation d'Ubuntu, quelles étapes dois-je suivre pour la sécuriser afin de l'utiliser comme serveur d'application Rails ?
Sur n'importe quel serveur accessible via Internet, iptables est toujours nécessaire. ;-)
Réponses
Trop de publicités?
Matt Blaine
Points
2270
Gareth Simpson
Points
5905
Tim Howland
Points
5705
Luke has no name
Points
1209
Quelques suggestions de pare-feu.
Apprenez à utiliser un pare-feu et les concepts de verrouillage correct d'une boîte. Changer les ports par défaut est largement futile ; une application appropriée et une configuration de pare-feu sont bien plus importantes.
Les deux se trouvent dans les dépôts Ubuntu :
FireHOL
possède une documentation fantastique et une syntaxe très facile à apprendre. J'ai pu configurer une passerelle/pare-feu en vingt minutes. La seule raison pour laquelle je suis passé à autre chose, c'est qu'il ne semble plus maintenu (dernière version il y a 2 ans). Cela ne signifie pas qu'il ne fonctionne pas, mais...
Ferm
est un autre. Syntaxe plus proche de celle d'iptables, mais même concept. Plus soutenu par la communauté que FireHOL, mais prend plus de temps à maîtriser.
Shorewall
est ce que j'utilise actuellement. Sa documentation est complète, et son format de configuration est tabulaire. Il m'a fallu environ une heure et demie pour comprendre tous les fichiers nécessaires (6) pour faire fonctionner une configuration de pare-feu/passerelle. C'est assez puissant. ASTUCE : Les pages de manuel pour les différents fichiers de configuration sont VRAIMENT utiles !
Tous chargent les configurations de pare-feu depuis un fichier de configuration. Très efficace, plus facile à utiliser que iptables seul, et (à mon avis) plus facile à utiliser et à gérer que ufw.
Autres :
-
Je rejoins les recommandations pour l'utilisation de clés SSH.
-
Configurez un IDS.
-
Apprenez à connaître AppArmor. Il restreint l'accès aux fichiers des exécutables aux seuls répertoires et fichiers spécifiés dont ils ont besoin. Similaire à SELinux dans le monde de RHEL. Il est installé et activé avec des "profils" préconfigurés pour de nombreux programmes bien utilisés.
mas
Points
629
En plus d'autres suggestions ici, je mentionnerai trois qui sont évidentes mais peut-être utiles pour être exhaustives:
- Si vous ne pensez pas avoir besoin d'un pare-feu, réfléchissez-y à deux fois. ufw est simple mais conçu pour Ubuntu et basé sur iptables
- Mettez à jour les packages: appliquez au minimum tous les correctifs de sécurité
- Documentez ce que vous avez fait pour sécuriser le serveur et pourquoi. Incluez la configuration de processus (automatisés) pour surveiller les journaux, tester la configuration et signaler les mises à jour de sécurité nécessaires.
- Réponses précédentes
- Plus de réponses
0 votes
Il y a une question similaire ici, cela pourrait aider; serverfault.com/questions/11659