Milyen szempontokat kellene figyelembe vennem egy linux webszerver biztonságossága kapcsán?
Elkzdtem ismerkedni a linux webszerverekkel, tudok már több felhasználós, több weboldalas webszervert összerakni, ahol mindegyik weboldal egy-egy linux user nevében fut. Viszont nem tudom, hogy miket kellene beállítanom, hogy valamelyest biztonságos legyen. Ilyeneket tudok, hogy a jelszaves ssh-t le kell tiltani, a bash helyett rbash-t szabad csak shell-nek adni a felhasznlók számára, illetve nem szabad őket kiengedni a saját könyvtárukból, tehát valami chroot féle is kell. Jelenleg docker nélkül dolgozom, de a docker konténerek tudnák-e a biztonságot növelni például?
Köszönöm!
A docker kontéreknek tudtommal más felhasználása van, nem erre való.
DDOS figyelést, naplózási szinteket, telepítési jogköröket állítsd be például.
Ha a maximális biztonságra szeretnél menni, akkor chroot -olva fusson minden felhasználó, a webszrver programba pedig korlátoz minden shell script exec műveletet, és a weboldal se tudjon kilépni a saját könyvtárából.
Ezen felül minden közös dolognak ügyelj, hogy a felhasználó ne tudja módosítani, tehát maximum olvasás és futtatási joga lehet, de sok esetben még olvasási se.
és a python2 -t véletlen se telepíts, annak hibájával ki lehet lépni a chroot -ból, és root joggal lehet műveletet végrehajtani.
A docker is csak egy eszköz, hasonló a chroot -hoz, csak kicsit lazább.
A docker az inkább a virtuális gépre hasonlít (egy picit) és nem a chroot-hoz.
A chroot egyébként nem számít komoly biztonsági lépésnek:
A docker konténerrel sokkal jobban lehet izolálni egy folyamatot. Az egyes szolgáltatásokat én kipakolnám konténerekbe...
Ja és a fail2ban megfelelő beállításáról ne feledkezz meg. Sok kéretlen kereső is meg szokta találni az oldalakat és a robots.txt-t figyelmen kívül hagyva felindexelnek mindent... sűrűn. Gyakorlatilag olyan irreális terhelést okoznak ezzel mint egy kisebbfajta DDOS.
Egyébként én elgondolkodnék valami ISPConfig féle felületen, ha több felhasználót kell kezelni. Könnyebb mint mindent kézzel állítgatni.
ISPconfig-ot fel ne rakd, az is további biztonsági rés.
Fail2ban viszont jó ötlet. Illetve GitHub-on van egy magyar srác fejesztése, a neve "Portscan Protection", azt is érdemes felrakni.
Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!