Падаван и сервер

Прости, дружище, но, кроме как взоржать, помочь чем-то вряд ли можно. Безопасность - это настолько большая область знаний, что и начинать не стоит, если не собираешься продолжать. Однако, для галочки, ты можешь отрапортавать, что запилил антивить, файрволл и антифлуд. Можешь даже на самом деле что-то сделать. Типа там правил iptables написать и установить fail2ban и какой-нибудь SELinux.

CentOS - как улучшить взломоустойчивость сервера и https://redhat-club.org/2011/общие-методы-повышения-безопасности-сервера-rhel...

Базовые вещи тебе уже подсказали - gssomi дала ссылку.

А теперь рассказывай, что за сервер, какие функции он выполняет.

Антивирус для линукса не нужен в связи с отсутствием вирусов для него. Те, что есть на рынке — это по сути сетевые экраны и проверяльщики файлов на шаре для защиты виндовых компов в сети сервера.

CentOS 6 ~ RHEL 6

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html...

https://access.redhat.com/documentation/en/red-hat-enterprise-linux/?category...

и остальные доки https://access.redhat.com/documentation/en/red-hat-enterprise-linux/?version=6 по 6й версии, даже что-то на русском есть.

Так же читай арчевики https://wiki.archlinux.org/ и гентувики https://wiki.gentoo.org/wiki/Main_Page по любой возникающей теме. То, что не дистрибутиво-специфично для центос, описывается в этих вики очень хорошо

gssomi, огромное спасибо, теперь есть что почитать более конкретно)

Vsevolod-linuxoid, а гугл мне выдал таки список этих самых вирусов. Но в моём случае да, скорее не вирусы, а бэкдоры и руткиты. Хотя rkhunter и ещё пара утилит не выдала ничего незаконного.

CaveRat, на сервере хранятся сайты компании. А что за сервер..я так полагаю, что ответ типа «ну, системник» не прокатит?

Проще нанять админа на один раз, чтобы тот разобрался, что там с безопасностью и почистил/настроил.

Если всё же хочешь сам, требуй с начальства денег, например, на «Руководство администратора Linux» Э. Немет, Г. Снайдер, Т. Хейн и разбирайся, потому как, насколько я понял по твоим вопросам, ты в линуксах вообще не разбираешься. Там и про основы работы есть, и про безопасность кое-что упоминается, и разбираются особенности разных дистрибутивов, в том числе и CentOS. По разрозненным статьям, имхо, ты впустую потратишь кучу времени.

CaveRat, на сервере хранятся сайты компании. А что за сервер..я так полагаю, что ответ типа «ну, системник» не прокатит?

Не, не катит :) Ожидал услышать что-то типа «ну, вебсервер/почта/файлопомойка/прокся/etc». Но я уже понял, что веб. Что за сервер используется? Апач, nginx?

А, еще. Юзай лоркод, а то оповещения не придут.

Для быстрого старта хватит cbtnuggets/pluralsight. Пока падаван будет курить труды бабушки Немет много времени пройдет.

А, еще Linux Academy есть.

Не обязательно выкуривать всю тысячу страниц. Достаточно первые пару глав для общего ознакомления, а дальше можно уже выборочно как справочником пользоваться. Тем более конкретно про безопасность там глава относительно небольшая, можно проштудировать довольно быстро, а для начала этого более чем достаточно.

Хотя, согласен, к твоему совету стоит прислушаться.

Дай IP-адрес и пароль root, мы всё сделаем.

CaveRat, вообще используется апач..я уверен в этом на 85 процентов)

А есть ли смысл использовать clamav для проверок? Поскольку в очередной раз rkhunter и ckhrootkit молчат,а всякие нехорошести на сайтах периодически появляются.

shell-script, увы, но нанять админа вообще не вариант. Поэтому благодарю за наводку на книгу.

Если там просто сайто, без почты - ну, фиг знает, в принципе тебе могут подсадить зловредный скрипт типа даунлоадера (узер заходит на твой сайт, его браузер запускает на своей стороне скрипт и качает пользователю зловреда с сервера злоумышленника), но я не уверен, что Clamav поможет, хотя какие-то модуля для апача и есть. Почитай на опеннете про безопасность апача - вот тут.

И, да, я так понимаю, что сервер админится по ssh? Соответственно, надо озаботиться еще и этим вопросом. Ну и iptables, куда без них.

ЗЫ Совет про дайт IP и рутовый пас - это такая тупорылая шутка. Ни в коем случае никому его не давай.

Помнится, был тут один такой умнег. Кажется, был по итогу зобанен.

CaveRat, насчёт «дай ip и рутовый пас» я и так прекрасно понял)) всё-таки как админ я и близок к нулю, но не такой дурак )) но всё равно спасибо, вдруг я был бы не осведомлён.

в итоге спасибо большое за советы, полез я курить мануалы, которые мне тут скинули.

CaveRat, а ещё я ошибся, походу у меня стоит таки nginx)

Я думаю, гуглозапрос типа «безопасность веб-сервер nginx» тебе поможет ) Но я бы начал с базовых курсов по линуксам на linux academy. У них, вроде, есть бесплатный период с доступом к курсам и их лабе.

Помимо уже указанных ссылок нужно сделать «аудит» того что собственно есть на сервере.

Сделать список сервисов на этом сервере - составить табличку, что доступно из интернета, что из внутренней сети что только локально. Список всего самописного/нестандартного (сайты, сервера, скрипты и пр. ) отдать начальнику со словами - вот тут «тыжпрограммисты» понаписали/понаставили - пусть каждый ответсвенный за свой модуль его безопасно настраивает теперь.

насчёт «дай ip и рутовый пас» я и так прекрасно понял))

Поздравляю, ты готов!

Я просто проверял. Намерений всё удалять, как у того умнега, у меня не было.

Pythagoras, так ладно, я вроде шутки воспринимать умею)

такая хакер, лол

и причем тут хакер?

Проблемы с безопасностью ты вероятнее всего не решишь, а вот риски с руководства перенесешь на себя (тебе же поручена была задача).

Главное не забудь затребовать от руководства как минимум пол-ставки админа, чтобы хоть не бесплатно в этом всём ковыряться.

По обсуждению я так понял, там только сайт. Возможно, проблемы у тебя не только и не столько в настройках сервера, сколько в движке сайта. Возможно, где-то есть уязвимость, модифицировать файлы сайта. Даже если полностью безопасно настроить сервер, ограничить сайт в chroot'е и так далее, проблемы всё-равно будут. Тут надо ещё проводить аудит кода самого сайта.

shell-script, вот такая идея тоже недавно появилась и буду её проверять чуточку позже. clam в логи выводит вредоносные файлы, потом буду их все проверять.

Выше уже писали, что clamav ищет виндовые вирусы. Опять же выше уже писали, что кто-то мог модифицировать твой сайт так, что он заставляет пользователя скачать какую-нибудь заразу. Вот clamav эту заразу и находит. А это говорит о том, что скорее всего именно в движке сайта у тебя уязвимость.

Отдельный момент заключается в том, что вредитель через дыру в сайте мог залить на сервер web-shell и получить доступ к твоему северу под пользователем, от имени которого запущен web-сервер. А при наихудшем варианте, получить рута с помощью какого-нибудь эксплойта и тогда всё плохо.

Без подробностей сложно сказать подробнее.

Приятного чтения молодой падаван.
http://fstec.ru/component/attachments/download/296

Это не то, что надо читать.

Более того, этот как раз и не надо читать.

ClamAV

Ну как, посмотрел в Бездну? Хочешь туда? Уверен?

targitaj, да не, мне пока по кайфу разбираться в чём-то новом)) Единственное что, я бы снёс всё к чертям и поставил бы всё под себя.. что и планирую сделать в ближайшем будущем)

Больше удручает то, насколько всё запустили предыдущие работники

Понятно. Ты пока еще не понял главного. Тебе уже выше указывали, но ты не понял. Информационная безопасность - это, в первую очередь, бюрократия. Формы, отчетности, анализы и тд и тп. Технической работы в области информационной безопасности - хорошо если четверть.

Информационная безопасность - это, в первую очередь, бюрократия

А ты оказывается из этих...