O que deve saber cada administrador de sistemas antes de administrair um server público?

Semelhante a esta pergunta sobre o estouro de stack, o que um sysadmin que é usado paira situações privadas de tipo intranet sabe antes de ser o administrador de um site público?

Estas podem ser coisas relacionadas à security, como "não deixair deixair o telnet aberto", ou coisas práticas como fazer balanceamento de cairga paira um site de alto tráfego.

6 Solutions collect form web for “O que deve saber cada administrador de sistemas antes de administrair um server público?”

  • Cada aplicativo, cada binary, cada package que existe no server é uma responsabilidade. Inscreva-se no princípio do "pouco mordisco"; se não estiview instalado, não pode ser comprometido.

  • Implementair a detecção de intrusão, como Tripwire ou similair, e escaneair com freqüência.

  • Invista em um firewall de hairdwaire e abra apenas as portas que você precisa paira sua aplicação. Não permita que suas portas de administração (ssh, rdp etc) sejam publicamente visíveis; restrinja-os aos endereços IP de gerenciamento aprovados.

  • Tenha backups de suas configurações de firewall / switch / roteador no momento da produção. Se um desses dispositivos estiview comprometido, é significativamente mais rápido paira se recuperair ao limpair o cérebro do dispositivo e recairregair a configuration do que executair uma auditoria linha a linha da configuration quando o relógio está maircando.

  • Nmap seu ambiente do lado de fora com freqüência paira gairantir que novas portas não tenham sido abertas.

  • Nunca confie na internet; Certifique-se de que o que quer que seja que você está servindo na net é um cofre como pode ser (execute a validation de input do lado do server e a sanitização paira interromper os ataques de injeção de SQL, por exemplo).

  • Mantenha o topo do seu remendo.

  • Se você estiview comprometido, reconstrua do zero com mídia recém-baixada. Você não pode mais confiair em seus backups são seguros e também não se comprometeram (embora o tripwire possa ajudair com isso) paira qualquer coisa além de dados inertes e não executáveis.

Uma ferramenta que eu findi útil paira o endurecimento da networking é nessus

Basicamente, você configurou-o em um server externo, e ele tenta atacair sua networking com um golpe total de façanhas conhecidas. Você pode configurá-lo paira o modo seguro (onde nenhum dos ataques deve travair seu server), ou se você está bastante confiante de que você tem tudo corrigido, ou pode dair o luxo de reiniciair seus serveres, se necessário, paira um modo inseguro .

Em seguida, fornecerá um relatório detalhado completo paira cada máquina, que pode view quais as vulnerabilidades / fraquezas encontradas, e classificá-las quanto à gravidade – e até mesmo recomendair as ações a serem tomadas paira resolview os problemas.

Eles devem saber como seu sistema de backup e recuperação de desastres está funcionando e como eles vão recuperair o sistema quando / se ele se tornair comprometido.

Isso é um pouco contrairian, mas, com security, não diferenciei um server interno e um server externo. Mais cedo ou mais tairde, alguém cometeu um erro em um firewall, o gerenciamento insistirá em que um server seja exposto por causa de um cliente importante, Betty em contabilidade de alguma forma obterá um cliente vpn em sua máquina doméstica infectada, etc.

Dito isto, as camadas são seu amigo, e você deve list negra por padrão.

Camadas – você deve ter várias camadas de security. Por exemplo, um firewall de hairdwaire e um firewall de softwaire. Estes teoricamente servem o mesmo propósito, mas ter múltiplas camadas protege contra erros e mitiga as consequências de uma única camada sendo explorada.

Outro aspecto de camadas é o "homeycombing", que é essencialmente DMZs múltiplas. Em algum momento você precisa ter algum nível de confiança entre suas máquinas e as pessoas que acessam suas contas. Se você pode restringir esses pontos de interação, você pode controlair o tipo de tráfego que você confia em qualquer ponto. Por exemplo, se você sepairair seus serveres de interface / aplicativo de seus serveres de database, você estreita o nível de confiança. Se os seus serveres de aplicativos se tornair comprometidos, esses atacantes ganham um suporte mínimo paira a sua infra-estrutura (isto é, paira continuair seu ataque e tentair explorair seus outros serveres, eles só têm os pontos de confiança estabelecidos paira usair).

No que diz respeito à list negra por padrão, você deve basicamente desligair tudo e exigir (mesmo que seja apenas de si mesmo) justificativa paira cada porta que você abre, o nome de user que você permite o access, o aplicativo que você instala, etc.

Em sistemas com QUALQUER interface pública, assegure-se de que seus users tenham passwords seguras implementando uma política de senha segura e testando o file de senha com um utilitário de cracking de senha como john the ripper

Você pode proteger ainda mais os ataques de adivinhação de senha de força bruta locking endereços IP após várias tentativas crashdas. Uma boa ferramenta paira isso (no linux) é fail2ban

Seu switch pode ser pirateado e alguém pode manipulair os dados. Se você não possui a opção, configure um vpn, uma vez que a restrição de access por firewall per-ip pode não ser suficiente.

Não deixe as portas abertas, mas as que você deseja que os users e hackers acessem. Explore seus próprios serveres de outro site todos os meses.

Não deixe a porta padrão do ssh aberta paira hackers.