您的服务器上是否存在任何常见的安全问题?关于应该禁用的麻烦事情的任何建议?我应该避免任何特定于虚拟主机的愚蠢安全错误?最近影响webhosts的漏洞是什么?
解决方法
这是我为大多数服务器(共享或非共享)执行的操作列表,没有特定的逻辑顺序:
>我几乎从不使用发行版提供的内核.我保留了自己的内核树,它与Linux主线保持同步……就grsecurity而言.它不仅是一种安全措施,也是一种优化措施.你不会在我们的内核中找到像parallel / usb / audio支持的东西(因为web服务器不需要它们).构建内核只是为了利用我们需要的板上的东西.
> 9/10坏事通过有缺陷的用户脚本进入.许多客户都知道PHP足够危险. mod_security是我最好的朋友之一,我支付订阅硬化规则集的费用,并且几乎每周更新一次.
>审计至关重要,我还建议使用OSSEC或类似的东西.
>我的所有服务器都连接到维护LAN,我可以独立于公共网络访问.如果/如果事情确实变坏并且您发现您的服务器忙于在整个互联网上发送垃圾数据包,您会感激有另一种方式.我还在所有服务器上安装了IP KVM,或IPMI,具体取决于硬件.
>最近,我一直使用Xen作为共享服务器的管理层.我创建了一个拥有99%系统内存的guest虚拟机.这使我可以轻松地执行文件系统修复/快照/等操作.如果出现问题,它可以真正帮助恢复(并且方便地从共享服务器隐藏LAN).
>我维护了一个非常严格的基于iptables的防火墙,在出口时尤为严格.
>我非常小心谁可以访问系统编译器和链接工具.
>我虔诚地更新系统软件.
>我定期进行扫描,以确保人们不会无意中运行wordpress,PHPBB等流行应用程序的旧版和易受攻击版本.
>我免费安装客户在互联网上找到的东西.这真的有助于我审核托管的内容,同时为客户提供额外的价值.它还有助于确保安全,正确地安装.
>始终,始终,始终强化PHP,确保您也使用suexec for PHP.没有比在’nobody’拥有的/ tmp中找到一个机器人更糟糕了:)
最后,最后但并非最不重要:
>我实际上读了系统日志文件.只有在发现问题后,才会有很多主机跑来跑去看看出了什么问题.即使使用像OSSEC这样的工具,重要的是要积极主动.