Аналогічно цьому питанню в Stack Overflow, що повинен знати системний адміністратор, який використовується в приватних ситуаціях типу інтрамережі, перш ніж бути адміністратором загальнодоступного сайту?
Це можуть бути речі, пов’язані з безпекою, як-от "не залишайте telnetвідкритим", або практичні речі, наприклад, як зробити балансування навантаження для веб-сайту з високим трафіком.
Відповіді:
Кожна програма, кожен двійковий файл, кожен пакет, який існує на сервері, є відповідальністю. Підпишіться на принцип «найменшого розряду»; якщо він не встановлений, це не може бути порушено.
Реалізуйте виявлення вторгнень, таких як Tripwire тощо, та скануйте часто.
Інвестуйте в апаратний брандмауер і відкривайте лише порти, необхідні для вашої програми. Не дозволяйте портам адміністрації (ssh, rdp тощо) бути загальнодоступними; обмежте їх затвердженими IP-адресами управління.
Майте резервні копії конфігурацій вашого брандмауера / комутатора / маршрутизатора під час запуску у виробництво. Якщо один з цих пристроїв порушений, відновитись значно швидше, витираючи мозок пристрою та перезавантажуючи конфігурацію, ніж виконувати ревізію конфігурації за рядком під час натискання годинника.
часто малюйте своє оточення зовні, щоб не відкрити нових портів.
Ніколи не довіряйте Інтернету; переконайтеся, що все, що ви обслуговуєте до мережі, є безпечним, як це може бути (виконайте перевірку вводу та санітарію на стороні сервера, щоб зупинити атаки SQL-ін'єкції, наприклад).
Будьте в курсі виправлення.
Якщо ви скомпрометовані, відновіть з нуля свіжо завантажені носії інформації. Ви більше не можете довіряти, що ваші резервні копії є безпечними, а також не можуть бути порушені (хоча трипровідний провід може допомогти у цьому) ні за що, крім інертних, невиконаних даних.
Одним із інструментів, який я знайшов для зручності загартування мережі, є nessus
В основному, ви налаштовуєте його на зовнішній сервер, і він намагається атакувати вашу мережу цілим ударом відомих подвигів. Ви можете встановити його в безпечному режимі (там, де жодна з атак не може зірвати ваш сервер), або, якщо ви впевнені, у вас все виправлене, або ви можете дозволити собі перезавантажити ваші сервери при необхідності для небезпечного режиму.
Тоді він надасть дуже повний градуйований звіт для кожної машини, на якому він зможе побачити, які вразливості / слабкі місця виявлені, та оцінить їх за ступенем серйозності - і навіть рекомендує вжити заходів для вирішення проблем.
Вони повинні знати, як працює їх система резервного копіювання та відновлення після аварій, і як вони відновлять систему, коли / якщо вона буде порушена.
Це трохи протилежне, але безпечно, я не розрізняю внутрішній і зовнішній сервери. Рано чи пізно хтось помилиться у брандмауері, керівництво наполягає на тому, щоб сервер був відкритий через важливого клієнта, Бетті в бухгалтерії якось отримає клієнта vpn на її зараженій домашній машині тощо.
Однак, шари - це ваш друг, і вам слід замовчувати чорний список.
Шари - у вас повинно бути кілька шарів захисту. Наприклад, апаратний брандмауер та програмний брандмауер. Вони теоретично служать одній і тій же цілі, але наявність декількох шарів захищає від помилок і пом’якшує наслідки експлуатації одного шару.
Іншим аспектом шаруватості є «домашнє поєднання», яке по суті є декількома ДМЗ. У якийсь момент ви повинні мати певний рівень довіри між вашими машинами та людьми, які мають доступ до ваших облікових записів. Якщо ви можете звузити ці точки взаємодії, ви можете жорстко контролювати тип трафіку, якому ви довіряєте в будь-якій точці. Наприклад, якщо ви відділяєте сервер інтерфейсу / додатків від серверів вашої бази даних, ви звужуєте рівень довіри. Якщо ваші сервери додатків стають під загрозою, ці зловмисники отримують мінімальну підтримку вашої інфраструктури (тобто для того, щоб продовжувати свою атаку та намагатися використовувати інші ваші сервери, вони можуть використовувати лише ті встановлені точки довіри).
Що стосується чорних списків за замовчуванням, ви, в основному, повинні вимкнути все і вимагати (навіть якщо це лише ви самі) обґрунтування кожного відкритого порта, ім’я користувача, яким ви дозволяєте доступ, встановлення програми тощо.
У системах із будь-якими загальнодоступними інтерфейсами забезпечте, щоб ваші користувачі мали захищені паролі , застосовуючи політику захищеного пароля та випробувавши файл пароля за допомогою утиліти для зламування паролів, наприклад, John ripper
Ви можете додатково захиститись від жорстокої атаки відгадування пароля, блокуючи IP-адреси після кількох невдалих спроб. Непоганий інструмент для цього (на Linux) - fail2ban
Ваш комутатор може бути зламаний, і хтось може підробити дані. Якщо ви не є власником комутатора, встановіть vpn, оскільки обмеження доступу до брандмауера за власним ip може бути недостатньо.
Не залишайте жодними портами відкритими, окрім тих, до яких ви хочете, щоб користувачі та хакери мали доступ. Щомісяця скануйте власні сервери з іншого сайту.
Не залишайте портам за замовчуванням ssh відкритим для хакерів.