Säkra sin server?

[eric.scott]

Hej!
Installerat en liten http-, ftp-server och undrar hur man ska skydda den mot angrepp?
Gärna en lösning som drar lite prestanda.

[andol]

Säkerhet är inte främst ett lager man lägger ovanför sina servertjänster utan något man integrerar i dem. Detta behöver egentligen inte kosta någon form av prestanda. Däremot kräver det tid och kunskap.

Vilka återgärder man ska ta gällande konfiguration beror helt på vilka serverdemoner man använder sig utav och vilka behov man har utav dem. Den generella regeln är dock att ta en minimalistisk approach och bara tillåta det som behöver tillåtatas och att bara ge de rättigheter som verkligen behövs. På så vis minimerar man de möjligheter en inkräktare har att leka med.

Tycker mig ha sett i tidigare trådar att du kör apache och vsftpd? Kan glädja dig mig att de innehåller hyfsat säkra defaultvärden. Det ska dock inte hindra dig ifrån att titta igenom deras konfigurationer och se om det finns någon funktionalitet eller några rättigheter du kan stänga av.

Vad gäller webbservrar så är idag ett av de stora problem osäkra (php-)skript. Det generella rådet gällande säker webbprogramering är att Aldrig lita på input som potentiellt kan komma från besökaren. All potentiellt misstänkt input ska om möjligt verifieras och om inte annat escapeas. Det är även lämpligt att titta på php:s generella inställningar gällande vad de tillåter.

Sen så har vi förstås de generella säkerhetsråden om att ha bra lösenord, att hålla koll på säkerhetsuppdatering, etc.

[eric.scott]

Ah, okej
Precis, apache och vsftpd + ssh. Tyvärr kan jag nog inte säkra mera i .conf filerna eftersom kunskaperna inte räcker till
Ingen fara på taket alltså utan det är bara att köra på?

[KiviE]

Ah, okej
Precis, apache och vsftpd + ssh. Tyvärr kan jag nog inte säkra mera i .conf filerna eftersom kunskaperna inte räcker till
Ingen fara på taket alltså utan det är bara att köra på?

Så länge du inte kör någon kritisk verksamhet på hemsidan som tex företagshemsida, stort forum eller en väldigt populär hemsida så finns det nog ingen direkt risk att du blir utsatt för attacker och kan därför bara köra på.

[eric.scott]

Tack, återkommer om så skulle vara fallet

[maths57]

Du kan ju hålla ett öga på loggfilerna för att se om det verkar vara något skumt på gång.

[ebbot]

Ett par enkla saker är att köra ssh istället för ftp. Byt framförallt port till någon över 10000 (ställs in i /etc/ssh/sshd_config, rad 5 för mig). Det finns massor av sätt att säkra ssh och LAMP på:

http://www.itsecurity.com/features/ubun ... -resource/
http://www.linuxsecurity.com/content/view/133913?rdf
http://www.computerworld.com/action/art ... Id=9002691