Decir que tengo una instalación limpia de Ubuntu, ¿qué pasos debo tomar para asegurar que se utilice como un servidor de la aplicación Rails?
Respuestas
¿Demasiados anuncios?No puedo pensar en cualquier Ubuntu-ajustes específicos, pero aquí hay unos pocos que se aplican a todas las distribuciones:
- Desinstalar todos los paquetes innecesarios
- Uso de clave pública, sólo la autenticación de SSH
- Deshabilitar las conexiones de root a través de SSH (no aplica a Ubuntu)
- El uso de la producción de configuración de PHP (php.ini-recommended)
- Configurar MySQL para usar sockets sólo
Por supuesto, esta lista no está completa, y usted nunca será completamente segura, pero no cubre todas las hazañas que yo he visto en la vida real.
También, las hazañas que he visto eran casi siempre relacionadas con los seguros de código de usuario, no insegura de configuración. Las configuraciones predeterminadas en mínimos, el servidor de distribuciones tienden a ser bastante seguro.
Una cosa rápida que puedo hacer es instalar DenyHosts. Va regularmente a mirar a través de el /var/log/secure, buscando los errores de acceso, y después de un par de fracasos, de bloquear la IP. Me puse a bloquear después de la primera no-tan-usuario, en el segundo intento en la root, y después de un par de intentos para que los usuarios reales (en caso de que te equivocas, pero usted debe utilizar una clave pública SSH para iniciar sesión).
Ubuntu está basado en Debian y he encontrado el Manual para Asegurar Debian ser muy útil en distribuciones basadas en Debian completamente caminando a través de su sistema y la comprobación de cada parte. Se trata básicamente de un muy, muy completa la respuesta a su pregunta.
Yo suelo instalar RKHunter, que escanea en busca de rootkits y hace las comprobaciones de integridad de importantes archivos binarios del sistema. Es en el estándar de la repo, y se realizará diariamente desde cron. No es perfecto, securitywise, pero es un bajo esfuerzo elemento para agregar, y proporciona una medida de protección.
Instalar logcheck, pero tweak para no recibir mensajes de eventos regulares, de lo contrario vas a conseguir en el hábito de ignorar los correos electrónicos.
Verificar que los procesos se escucha con netstat, y asegurarse de que nada está ejecutando que no necesita ejecutar. Muchos demonios sólo puede configurarse para escuchar en la IP interna (o localhost) en lugar de todas las interfaces.