Existe algum documento completo de proteção do servidor Ubuntu que seja suficiente para ISO 27001 ou PCI DSS ou qualquer outro padrão de segurança.
Responder1
Não conheço nenhum documento oficial de proteção do servidor Ubuntu, mas espero que o seguinte seja um bom ponto de partida:
O NIST (Instituto Nacional de Padrões e Tecnologia) publica diretrizes sobre como proteger sistemas *nix. É isso que os grandes usam como ponto de partida (DOD, Exército, etc.).
Confira também issoArtigo do instituto SANS. Esta listatambém é uma boa regra prática.
Você também pode usar ferramentas como Nessus, OpenVAS e outros scanners de vulnerabilidade para ter uma ideia de quais portas e serviços precisam ser desligados.
OBanco de dados nacional de vulnerabilidadetambém é um bom site para referência cruzada da configuração do seu software.
Se você está tentando obter conformidade com a ISO 27001, então a ISO deve ter documentação e lista de verificação para esse tipo de coisa (embora seja uma tarefa difícil de examinar).
Desculpe se isso é muito geral, espero que ajude.
Responder2
A resposta acima é ótima, mas minha única preferência pessoal é o CIS Debian Hardening Guide que pode ser encontrado em:http://benchmarks.cisecurity.org/en-us/?route=downloads.show.single.debian.100
Responder3
Existem vários guias de proteção que são utilizados, o padrão da indústria que muitas estruturas procuram, especificamente PCI-DSS é o CIS Benchmarks publicado pelo Center for Internet Security (CIS). As diretrizes CIS não apenas fornecem orientação para sistemas operacionais como Windows, Linux, AIX, mas também possuem diretrizes de proteção para muitos dos serviços que executam, como Apache, MySQL, Oracle, Weblogic, SQL Server, IIS etc. seus plug-ins ao fazer verificações de vulnerabilidade e segurança com produtos de verificação. Há também itens específicos de segurança para carregar para diversas tarefas, como IDS/IPS na rede ou HIDS no host. Ferramentas instaladas para detectar configurações e alterações não autorizadas, analisar e revisar logs de atividades não normais, etc. Tenho construído e reforçado servidores nos últimos 20 anos, então se você tiver alguma dúvida mais detalhada, ficarei feliz em tentar respondê-la .