Что должен знать каждый системный администратор перед администрированием публичного сервера?

Подобно этому вопросу о переполнении стека, что должен знать системный администратор, который привык к частным ситуациям типа интрасети, прежде чем стать администратором общедоступного сайта?

Это могут быть вещи, связанные с безопасностью, такие как "не выходи из отпуска telnet открыть "или практические вещи, как, как сделать балансировку нагрузки для сайта с высоким трафиком.

6 ответов

Решение
  • Каждое приложение, каждый двоичный файл, каждый пакет, который существует на сервере, является ответственностью. Подпишитесь на принцип "наименьшего бита"; если он не установлен, он не может быть скомпрометирован.

  • Реализовать обнаружение вторжений, например Tripwire или аналогичное, и часто сканировать.

  • Инвестируйте в аппаратный брандмауэр и открывайте только те порты, которые необходимы для вашего приложения. Не позволяйте вашим административным портам (ssh, rdp и т. Д.) Быть публично видимыми; ограничьте их утвержденными управляющими IP-адресами.

  • Создавайте резервные копии конфигураций брандмауэра / коммутатора / маршрутизатора на момент запуска в производство. Если одно из этих устройств будет взломано, восстановление после него будет значительно быстрее, если очистить мозг устройства и перезагрузить конфигурацию, чем выполнять построчную проверку конфигурации, когда тикают часы.

  • Часто отображайте вашу среду извне, чтобы не открывать новые порты.

  • Никогда не доверяй интернету; убедитесь, что все, что вы обслуживаете в сети, является безопасным, насколько это возможно (например, выполните проверку и очистку входных данных на стороне сервера, чтобы остановить атаки с использованием SQL-инъекций).

  • Держите поверх ваших исправлений.

  • Если вы скомпрометированы, восстановите с нуля с помощью недавно загруженных носителей. Вы больше не можете доверять, что ваши резервные копии безопасны и не пострадали (хотя tripwire может помочь с этим) для чего-либо, кроме инертных, неисполняемых данных.

Одним из инструментов, который я нашел удобным для защиты сети, является nessus

По сути, вы устанавливаете его на внешнем сервере, и он пытается атаковать вашу сеть с помощью целого ряда известных эксплойтов. Вы можете установить его в безопасном режиме (когда ни одна из атак не приведет к сбою вашего сервера), или, если вы уверены, что все исправлено, или можете позволить себе перезагрузить серверы в случае необходимости в небезопасном режиме.

Затем он предоставит очень полный классифицированный отчет для каждой машины, который сможет увидеть, какие уязвимости / слабости он обнаружит, и оценит их серьезность - и даже порекомендует действия, которые необходимо предпринять для решения проблем.

Они должны знать, как работает их система резервного копирования и аварийного восстановления, и как они будут восстанавливать систему, когда / если она окажется под угрозой.

В системах с ЛЮБЫМИ общедоступными интерфейсами убедитесь, что ваши пользователи имеют надежные пароли, внедрив политику надежных паролей и протестировав файл паролей с помощью утилиты взлома паролей, такой как Джон Риппер.

Кроме того, вы можете защититься от атак с использованием подбора паролей, блокируя IP-адреса после нескольких неудачных попыток. Хороший инструмент для этого (в Linux) - fail2ban

Это немного противоречит, но с точки зрения безопасности я не делаю различий между внутренним сервером и внешним сервером. Рано или поздно кто-то допустит ошибку в брандмауэре, руководство будет настаивать на том, чтобы сервер был раскрыт из-за важного клиента, Бетти в бухгалтерии каким-то образом получит vpn-клиент на своей зараженной домашней машине и т. Д.

Тем не менее, слои - ваш друг, и вы должны занести в черный список по умолчанию.

Слои - у вас должно быть несколько уровней безопасности. Например, аппаратный брандмауэр и программный брандмауэр. Теоретически они служат той же цели, но наличие нескольких уровней защищает от ошибок и смягчает последствия использования одного слоя.

Другим аспектом многоуровневого размещения является "домашний доступ", который по сути состоит из нескольких DMZ. В какой-то момент вы должны иметь некоторый уровень доверия между вашими компьютерами и людьми, получающими доступ к вашим учетным записям. Если вы можете сузить эти точки взаимодействия, вы можете жестко контролировать тип трафика, которому вы доверяете, в любой точке. Например, если вы отделяете серверы интерфейса / приложения от серверов баз данных, вы сужаете уровень доверия. Если ваши серверы приложений подвергаются риску, эти злоумышленники получают минимальную опору для вашей инфраструктуры (то есть, чтобы продолжить свою атаку и попытаться использовать ваши другие серверы, им нужно использовать только те установленные точки доверия).

Что касается внесения в черный список по умолчанию, вы должны в основном закрыть все и требовать (даже если это только вы сами) обоснование для каждого порта, который вы открываете, имя пользователя, которому вы разрешаете доступ, приложение, которое вы устанавливаете, и т. Д.

Ваш переключатель может быть взломан, и кто-то может подделать данные. Если у вас нет коммутатора, настройте vpn, так как ограничения доступа к брандмауэру для ip может быть недостаточно.

Не оставляйте открытыми какие-либо порты, кроме тех, к которым вы хотите, чтобы пользователи и хакеры имели доступ. Сканируйте свои собственные серверы с другого сайта каждый месяц.

Не оставляйте порт ssh по умолчанию открытым для хакеров.

Другие вопросы по тегам