使用CentOs构建安全服务器

Question

可能重复: 增强Linux服务器

最近，我开始使用基于云的服务器来管理自己的服务器。最近我被黑了，服务器被用来打电话。在服务器上安装了CentOs、cPanel/WHM和CSF，并设置了中等安全设置。

在被黑后，我意识到需要更多的安全措施。如何使用CentOS制作安全服务器？

Answer 1

若要获得最大安全性，请键入此命令。

# sudo ifdown eth0

但说真的。这个帖子中的答案几乎就是你要找的东西。如何在我的WordPress服务器上运行安全检查？

编辑:哦，我意识到是你问了这个问题.

1. 使用iptables的防火墙规则。只需打开你需要的端口。阻塞所有，例如允许端口80。
2. 更改默认密码。如果你想知道很多人是如何得到hacked...default密码的，这是一个主要原因。将其更改为mysql服务器、用户帐户等。
3. 禁用您不需要的服务。该死，把它们卸载。
4. 运行最新的软件。wordpress有时会更新的原因是旧版本可能存在漏洞。确保您的服务都是最新的。

如果您这样做，well....you应该是相当安全的。

Answer 2

这是一个非常广泛的问题，正如您可能已经注意到的，我们可以列出数百个设置、调整和更改，这些设置、调整和更改将“帮助使一个服务器更加安全”，直到奶牛回家为止。

除了一般的“关闭/关闭任何您不使用的东西”，以及这里已经提出的精彩建议之外，如果这是您第一次管理服务器，通过理解核心安全原则开始工作也不是一个好主意。

CentOS被镜像为RedHat，这在企业设置中使用得更频繁。因此，有很多好的材料可以让你开始工作。试着看看美国国家安全局的Linux安全指南：

http://www.nsa.gov/ia/_档案/实况页/rhel5-小册子-i731.pdf

了解人们如何和为什么闯入服务器，以及他们的攻击向量通常是什么样子，也是一个宝贵的理解领域(这一直在变化)。

http://people.redhat.com/sgrubb/files/hardening-rhel5.pdf

除了确保您的服务器是安全的，最后一步是确保您所承载的软件和web应用程序也是安全的。如果你要做网络托管，掌握它们所造成的漏洞类型，以及它对人们如何进入你的服务器意味着什么是关键(提示: SELinux，虽然痛苦，是您的朋友)。SQL注入，跨站点脚本等-学习这些，并学习如何运行web应用程序评估。OWASP是一个很好的起点

https://www.owasp.org/index.php/Main_页面

Answer 3

• CloudLinux通过文件系统虚拟化提供了CPanel硬化。
• SELinux -为用户文件夹和suexec启用布尔值，以及任何需要通过培训模式培训新规则的方法--每个用户可写的tmp文件夹等等，这一项在系统范围内工作非常复杂，但这也是为什么它没有问题。
• 用最新的PHP5.3和应用程序更新CPANEL本身
• 将MySQL更新为5.5个包
• 具有核心规则的ModSecurity防止多次利用
• PHP Suhosin，硬化，例如禁用带有URLS的fopen()
• 使PHP源代码只读，例如，只有特定的文件夹是可写的，使用网站管理页面的特定名称。
• 启用带有限制和反扫描的IPTABLES防火墙，启用连接跟踪，不允许它处理的连接(/proc中iptables的哈希表和桶)，也拒绝每个服务器的ssh等访问。
• 使用扫描检测运行Snort
• 用Nessus和Web扫描仪进行扫描
• 确保备份在不同的位置进行，并且是可恢复的/不可擦除的。
• 禁用不需要的服务(也减少RAM)
• 启用SuEXEC，FastCGI，使每个帐户仅在其主文件夹中运行，不能从其他帐户中写入/读取临时文件。
• 运行邮件和web的防病毒。
• 运行多线程(worker) Apache和php，并将mod_qos应用于此。

此外，您还可以强化PHP应用程序。

简单地说，你需要的就是所谓的“牢笼”。SELinux、AppArmor、Cloud都是这样做的，然后您可以通过为每个用户创建ini来加强PHP，但是如果站点容易受到例如代码注入的影响，那么除了mod_security之外，您就无能为力了。

另外，如果速度太慢，可以添加Varnish代理缓存，并使应用程序也能兑现/编译代码，有很多级别的缓存：

• 清漆缓存
• 应用程序缓存(例如，它记住生成的对象，用OO编写)
• 静态缓存(生成的静态文件可以通过时间戳提供给应用程序缓存，在CPanel的情况下，也可以为应用程序缓存提供清漆和OO )。
• PHP缓存- xcache，APC等。
• Memcached -对象缓存用于PHP

在这一切之前，您可以放置HAProxy，这有助于在Varnish和Apache之间路由请求。

有了这一点，如果您有一个运行mod_security的严肃的应用程序，那么运行CPanel和其余的保护应该是很好的。

还要确保不要在MySQL上使用根帐户。

这并不是很糟糕的工作，你只需要调整日志，所以统计数据是可以工作的。