Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
Подскажите как обезопаситься |
14.12.2009, 20:51
|
|
Познающий
Регистрация: 09.02.2009
Сообщений: 34
Провел на форуме:
75757
Репутация:
-10
|
|
Подскажите как обезопаситься
Купил vds.Стоит CentOS 5.2
Подскажите как хотя бы обезопасить свой сервер.Yum update и yum upgrade это понятно.Но что можно сделать с php,mod_security и так далее.Желательно приводить примеры используя CentoS.как приавильно настроить апач и всё По (мускул,пхпмайадмин).
Последний раз редактировалось Gerceg; 14.12.2009 в 20:56..
|
|
|
16.12.2009, 13:07
|
|
Участник форума
Регистрация: 25.10.2007
Сообщений: 177
Провел на форуме:
551782
Репутация:
58
|
|
Апач и Mysql хочешь обезопасить что ли?
На 1000 посещений ничего тюнить не надо, все ранботает из коробки.
Ради интереса приведи вывод команды uname -a, есть подозрение что ядро старое и про безопасность можешь забыть вообще
|
|
|
|
17.12.2009, 21:58
|
|
Новичок
Регистрация: 20.10.2009
Сообщений: 8
Провел на форуме:
127060
Репутация:
11
|
|
В центосе очень старое ядро, насколько помню 2.6.18, но это совсем не означает, что оно дырявое. Просто майнтейнеры дистрибутива поддерживают его. Про софт:
Апач нужно запускать в mpm, например, я использую mpm_peruser, который позволяет запускать все окружение виртуального хоста от определенного пользователя. Если заинтересует, могу подробней рассказать. + бэкапы бд и файлов спасут, если сайт будет взломан. С похапэ не забываем про basedir, но это защита от дурака.
А вообще, тема слишком обширная. Можно книгу написать.  |
|
|
|
21.12.2009, 16:15
|
|
Познающий
Регистрация: 08.06.2009
Сообщений: 52
Провел на форуме:
268902
Репутация:
40
|
|
iptables настрой.. запрети и закрой все порты которые не юзаешь
|
|
|
|
24.12.2009, 14:21
|
|
Новичок
Регистрация: 04.09.2009
Сообщений: 23
Провел на форуме:
68004
Репутация:
10
|
|
Дособираем Suhosin patch для PHP (в новых версиях он стоит по дефолту)
#Конфигурим PHP
register_globals = Off (по дефолту он off - но мало ли..)
display_errors = Off
open_basedir = path (коллеги уже рекомендовали)
желательно
allow_url_fopen = off
allow_url_include = off
К апаче прикручиваем mod_security
### Затягиваем гайки (не факт правда что все скрипты будут отрабатывать должным образом - но если уже заработает - то спать можно спокойно
safe_mode = On
magic_quotes_gpc = On
Если есть возможность - убираем с сервака все качалки - wget, curl, fetch, lynx ... - это может стать решающим звеном...
Этого должно хватить 
Последний раз редактировалось Ex@rcist; 24.12.2009 в 14:37..
|
|
|
|
26.12.2009, 00:34
|
|
Участник форума
Регистрация: 25.10.2007
Сообщений: 177
Провел на форуме:
551782
Репутация:
58
|
|
Сообщение от Ex@rcist
Дособираем Suhosin patch для PHP (в новых
Этого должно хватить А затем создаем пользователя test test, чтобы првоерить как все работает.
Обезопасить машину можешь, заперев ее в сейф, всего не предусмотришь
|
|
|
|
26.12.2009, 13:47
|
|
Участник форума
Регистрация: 04.12.2005
Сообщений: 202
Провел на форуме:
414834
Репутация:
99
|
|
Если на сервере web-хостинг, то прежде всего надо следить за форумами/бордами/feedback формами, там где может быть SQL-Inj и XSS-Inj. За апачем и php надо тоже следить, обычно RedHat'овцы быстро выкладывают пачти на всякие потенциальные уязвимости, но в тоже время не забывай почитывать анонсы с официальных сайтов. Через iptables желательно ограничить UDP-трафик, а также возможное кол-во подключений для уникального IP. Плюс поставить блокиратор от брутфорса по ssh, это детский лепет, но нагрузку могут повышать этим и логи засоряются только так. Про всякие бэкапы думаю не стоит говорить.
|
|
|
|
09.03.2010, 20:08
|
|
Новичок
Регистрация: 26.09.2009
Сообщений: 9
Провел на форуме:
92035
Репутация:
0
|
|
Можно загнать вебсервер в chroot
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
