Рейтинг:1

Нужны советы по безопасности VPS - возможно, какие-то автоматизированные инструменты

флаг zm

Я создаю приложение, которое будет обслуживаться на сервере Ubuntu 20.04 VPS. Nginx, Python, Postgresql, nodejs, ничего особенного.

К сожалению, все мои знания о безопасности серверов заканчиваются после включения ufw и fail2ban. (Потому что большинство руководств также заканчиваются после этого.)

Не могли бы вы порекомендовать мне какое-нибудь хорошее современное руководство по защите сервера в Интернете? Если есть какая-то автоматизированная служба тестирования безопасности или что-то еще, что может помочь в аудите/мониторинге сервера - пожалуйста, скажите мне, платно можно.

флаг jp
Запросы на учебные материалы являются оффтопом.
Deromanenko avatar
флаг zm
@AlexD хорошо, только автоинструменты
флаг jp
Рекомендации по софту тоже оффтоп. См. https://serverfault.com/help/on-topic
Рейтинг:2
флаг cn
Bob

Принципы обеспечения безопасности ваших серверов довольно просты.

Без приоритета:

  • Поддерживайте свое программное обеспечение в актуальном состоянии. (Связано: запускайте только поддерживаемые/поддерживаемые версии.)
  • Запускайте только те службы, которые вам нужны.
  • Устанавливайте только необходимое программное обеспечение.
  • Правильно настройте свое программное обеспечение.
  • Предоставляйте доступ по принципу наименьших привилегий.
  • Добавьте мониторинг.
    Установите базовую линию и предупредите об отклонениях.

Специфика во многом зависит от фактического программного обеспечения, служб, которые вам нужно запустить, и ваших требований.

Для внешней проверки вашей конфигурации: существует множество сканеры уязвимостей и/или наборы инструментов для тестирования на проникновение как вы можете видеть в списках, таких как этот: https://owasp.org/www-community/Vulnerability_Scanning_Tools

Имейте в виду, что часто такие сканирования основаны на определении номеров версий вашего установленного программного обеспечения, и они не проверяют, можно ли успешно использовать известные уязвимости. Это может привести к множеству ложных срабатываний в дистрибутивах Linux, выполняющих резервное портирование безопасности, как, например, объясняется в этом разделе «Вопросы и ответы». Соответствие PCI: установить Apache 2.4.17 на Ubuntu 14.04.3?

Сканирование с проверкой подлинности может помочь в этом, проверяя версию пакета, а не строку версии, которую сообщает приложение.

Другой подход больше ориентирован на управление системой с централизованным управлением сервером, включая управление выпусками и исправлениями.
Например, Ubuntu Пейзаж , Красная шляпа спутниковое и Майкрософт SCCM

Deromanenko avatar
флаг zm
Спасибо за такой полный и подробный ответ.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.