サーバーを保護するための書籍/ガイド
構築して立ち上げたいウェブサイトのアイデアがあり、それをホストするために小さなVPSを入手することを考えています(価格の点でLinodeが好きで、広く推奨されているようです)。私はかなり壊れているので、マネージドサーバーを買う余裕はありません。
Ubuntu Lucid Serverをダウンロードし、VirtualBoxで実行して、最終的な本番サーバーの学習と近似として機能させました。私は学ぶことに専念していますが、何か馬鹿げたことを見逃して妥協するのではないかとかなり恐れています。そのため、LAMPサーバーを保護するための要点を説明している優れたガイド/本を知りたいと思います。
私はLinodeとSlicehostのそれぞれのチュートリアルで基本的なことをやり遂げましたが、できるだけ準備をしたいと思っています。このサイトはまだ作成されておらず、試用版として最初に共有ホストにデプロイする可能性が高いため、少なくとも基本を学ぶ時間はあります。
すべてを最新の状態に保つことを知っています。必要な穴だけを許可するようにiptablesを構成します(これは、ssh/scp/sftpの場合はTCPポート22のように見えます)、隠すことによる(非常にマイナーな)セキュリティのデフォルトポート(httpの場合は80)-pingに応答したくない理由がないため、ICMPをブロックするように指示するチュートリアルに混乱していますが、必要なソフトウェアをインストール/不要なソフトウェアを削除します。
Gentooセキュリティハンドブック をお読みください。そのほとんどは、すべてのLinuxディストリビューションに適用されます。
すでにUbuntuを使用しているので、 サーバーガイド をお勧めします。これは、デフォルトサービスの一般的なセットの基本的な概要を提供します。
O'Reillyの Linux Server Security もご覧ください。実際には、 Amazonを検索 かなりの数のオファリングを検索してください。
グーグル サーバー強化チェックリスト は、セットアップに明らかに問題があるかどうかをすばやく判断するための、優れた実用的な方法を返すようです。
最後に、 serverfault のセキュリティセクションに移動して、質問してください。
編集:また、ICMPはメッセージに基づいてブロックする必要があります。詳細については、 ICMPパケットフィルタリング を参照してください。
(ほとんど)権威があり評判の良い米国の情報源からの推奨読書:
- NIST General Server Security(パブリケーションSP800-123)
- NISTパブリックWebサーバー(パブリケーションSP800-44v2)
- NISTセキュアWebサービス(パブリケーションSP800-95)
- DISA nix STIG
- CIS ベンチマーク
また、OSマニュアルの細字で警告を読む必要があります。
部分的な答えに過ぎませんが、私はあなたに役立つかもしれないIPtablesチュートリアルを書きました。 http://www.ellipsix.net/geninfo/firewall/index.html
IPtablesに加えて、SSHとApacheを構成する必要がありますが、これらにはすでにある程度安全なデフォルト構成が付属しているため、おそらく変更する必要があるのは2つだけです。もちろん、Webサイトに機能を追加するときは、それに応じて構成を最新の状態に保つ必要があります。他の誰かがおそらくそのための良い参考文献を推薦することができます。
実際、私はこのコミュニティwikiを作成して、他の誰かがリンクを追加したいと思った場合に追加できるようにします。