LINUX.ORG.RU
ФорумSecurity

Дайте пожалуйста совет по настройке сервера centos для торчания в сети

 , , ,


0

3

Первая VPS-ка, которую я буду выставлять в интернет самостоятельно. На ней будут openvpn, почтовик, mysql, nextcloud с движком и соответственно лампа. Мне пригодились бы Ваши советы по анальному огораживанию и на что обратить внимание при конфигурации. Какие дефолтные настройки стоит поменять, какие слабые места у ПО?

Я вижу слабыми местами вебморду joomla, к ней наверн надо ограничить доступ через htaccess, вижу слабым местом базу данных mysql, можно ли там её огородить, я не знаю. Наверное лучшей реализацией будет доступ ко всем огороженым ресурсам через openvpn.

У меня есть доступ к консоли через VNC, поэтому если отвалится какой-то сервис, хотя с чего бы, смогу его поднять даже если не будет интернета.

Короче, мне пригодятся Ваши рекомендации. Спасибо.

Вешай сервисы кроме http(s), ssh и vpn на 127.0.0.1.
На ssh авторизацию по ключам.
selinux не выключай.
php-fpm пускать в чруте.

imul ★★★★★
()

Если нет настоятельной потребности в обратном то mysql должен слушать только на юниксовом сокете 127.0.0.1 (в дебиане оно из коробки так, на центе скорее всего тоже, но убедись). Под каждое приложение в mysql отдельная база и отдельный пользователь с доступом только к ней

Под каждый сайт отдельный пул в php-fpm (если будешь использовать его). Каждый пул работает от отдельного пользователя. Обращаться к пулам лучше через юниксовый, а не TCPшный, сокет (это не про безопасность, но так меньше путаницы) с минимальными достаточными правами. Файлы сайтов имеют режим доступа не выше 770 (кажется в центе из коробки нормальный umask, но убедись)

php-fpm, если будешь использовать его, не умеет в htaccess. Правила из имеющихся htaccess нужно будет перенести в nginx

Фаервол в центе по умолчанию запрещает всё что не разрешено. Разреши то что нужно, но не более

Осиль SElinux, а не только его отключение. Я вот не осилил, не будь как я

Если решишь не запрещать ssh аутентификацию по паролям то запрети логиниться сразу рутом. Логинься юзером, а потом используй sudo. Как по мне руту лучше вообще не иметь пароля

Что за вебморда на жумле? Что из перечисленных сервисов публично?

MrClon ★★★★★
()

У меня есть доступ к консоли через VNC

Я бы на это бы первое обратил внимание. Как банально бы это не звучало, но порой доступ к твоей учетки у провайдера и провайдер сам является узким местом всего. Т.е. начать нужно конечно же с нормального пароля для кабинета провайдера.
Остальное уже сказали, но главное реши вопрос обновлением.

anonymous_sama ★★★★★
()
Ответ на: комментарий от MrClon

Может тогда уж сразу в контейнере (LXC или Docker, по вкусу)?

У него есть для этого в конфиге штатный параметр. Единственное что надо будет сделать — подсунуть ему потом несколько сошек и парочку файлов конфигов.
Но, ты можешь хоть штаны через голову надевать.

imul ★★★★★
()
Ответ на: комментарий от imul

Не то что-бы, но ты всё-таки ответь при-сём тут штаны и голова

MrClon ★★★★★
()
Ответ на: комментарий от Postal_Dude

Можно подумать там нельзя поставить пароль уровня Qwerty1

MrClon ★★★★★
()
Ответ на: комментарий от Postal_Dude

С DO готовься, что тебя могут обвинить во всех смертных грехах, после того как решишь добавить или поменять кредитку, заблокировать их бэкапы и доступ к vps. И после попросить фото во весь рост с ID, причем не важно как ты пройдешь этот квест, провал почти обеспечен.

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

Потому платить надо через палку, обычно прокатывает.

anonymous
()

Поставь mod-security. Всякие Жумлы, Друпалы и прочие Вордпрессы это самое слабое звено торчащее в инет.

FreeBSD ★★★
()

доступ к консоли через VNC

Это в локалке? Тогда еще нужен отдельный vlan для монопольного доступа, что бы пароли не перехватили если ей кроме тебя еще пользуются.

Guest_now
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security