Деякі люди вказали на Посібник із забезпечення Debian . Це повинно бути абсолютно адекватним для всього, крім військових вимог.
Багато хто думає, що бути смішним параноїком - це круто, професійно чи щось. Це не так , це просто прикро для інших адміністраторів і відверто репресивне для ваших користувачів. Більшість речей, які ви побачите рекомендовані, - це лише підроблені роботи, щоб відчувати себе корисними для параноїдального адміністратора, але насправді не корисні, оскільки справжнє порушення безпеки може бути спричинене недостатньо оновленою системою та / або з внутрішнього джерела.
При цьому я вважаю, що я вважаю одним із моїх принципів - більше нічого не довіряю локальній мережі з Інтернету. Тому я налаштовую все, щоб вимагати автентифікації навіть у локальній мережі. Я шифрую та автентифікую весь трафік між кожним комп'ютером за допомогою IPsec.
Я переходжу до шифрування на повному диску для всіх моїх серверів.
Я встановлюю лише сервіси, якими користуюся. У мене немає брандмауера; Я конфігурую послуги, які мені потрібно вимагати аутентифікацію, або обмежувати їх (за власною конфігурацією програми або TCP-обгортками) певними IP-адресами. Єдине, що мені потрібно було заблокувати за допомогою iptables memcached
, це те, що він не мав файлу конфігурації і не використовував TCP-обгортки.
Я використовую хороші, генеровані випадковим чином паролі для своїх облікових записів і довіряю своєму SSH-серверу (та всім іншим службам), щоб утримати тих, хто не знає пароля. fail2ban
є лише для тих, хто має обмежений простір для файлів журналів, IMO. (Ви повинні мати достатньо хороших паролів, щоб мати можливість довіряти їм.)