Принципы обеспечения безопасности ваших серверов довольно просты.
Без приоритета:
- Поддерживайте свое программное обеспечение в актуальном состоянии. (Связано: запускайте только поддерживаемые/поддерживаемые версии.)
- Запускайте только те службы, которые вам нужны.
- Устанавливайте только необходимое программное обеспечение.
- Правильно настройте свое программное обеспечение.
- Предоставляйте доступ по принципу наименьших привилегий.
- Добавьте мониторинг.
Установите базовую линию и предупредите об отклонениях.
Специфика во многом зависит от фактического программного обеспечения, служб, которые вам нужно запустить, и ваших требований.
Для внешней проверки вашей конфигурации: существует множество сканеры уязвимостей и/или наборы инструментов для тестирования на проникновение как вы можете видеть в списках, таких как этот: https://owasp.org/www-community/Vulnerability_Scanning_Tools
Имейте в виду, что часто такие сканирования основаны на определении номеров версий вашего установленного программного обеспечения, и они не проверяют, можно ли успешно использовать известные уязвимости. Это может привести к множеству ложных срабатываний в дистрибутивах Linux, выполняющих резервное портирование безопасности, как, например, объясняется в этом разделе «Вопросы и ответы». Соответствие PCI: установить Apache 2.4.17 на Ubuntu 14.04.3?
Сканирование с проверкой подлинности может помочь в этом, проверяя версию пакета, а не строку версии, которую сообщает приложение.
Другой подход больше ориентирован на управление системой с централизованным управлением сервером, включая управление выпусками и исправлениями.
Например, Ubuntu Пейзаж , Красная шляпа спутниковое и Майкрософт SCCM
