Насколько безопасно размещать HTTP-сервер Apache дома?

Question 1

Если у вас перенаправлен только порт 80, вам не о чем беспокоиться, но это зависит от вашего веб-сервера. Например, если у вас есть веб-сайт с mysql, вам всегда следует использовать надежные пароли и устанавливать mod_security, поскольку существует множество методов SQL-инъекции, которые в случае успеха позволят злоумышленнику получить доступ к вашему серверу Ubuntu (я предполагаю, что он находится в локальной сети, так что это потенциальный риск). Также установите какой-нибудь брандмауэр, чтобы предотвратить брутфорс и отслеживать активность на сервере (доступ, изменение системных файлов и т. д.). В настоящее время я доволен csf/lfd, но он установлен на Centos, и я не уверен, как он работает на Ubuntu.

Answer

Если у вас перенаправлен только порт 80, вам не о чем беспокоиться, но это зависит от вашего веб-сервера. Например, если у вас есть веб-сайт с mysql, вам всегда следует использовать надежные пароли и устанавливать mod_security, поскольку существует множество методов SQL-инъекции, которые в случае успеха позволят злоумышленнику получить доступ к вашему серверу Ubuntu (я предполагаю, что он находится в локальной сети, так что это потенциальный риск). Также установите какой-нибудь брандмауэр, чтобы предотвратить брутфорс и отслеживать активность на сервере (доступ, изменение системных файлов и т. д.). В настоящее время я доволен csf/lfd, но он установлен на Centos, и я не уверен, как он работает на Ubuntu.

Question 2

ИМХО, вам следует обратить особое внимание как минимум на следующие пункты:

будьте очень осторожны с обновлениями безопасности программного обеспечения, чтобы уязвимости исправлялись по мере их обнаружения, особенно в Apache и общедоступных веб-приложениях, которые вы можете запустить (блог, вики ...)
предпочитаю использовать нестандартные порты TCP, чтобы быть менее уязвимым для ботов
отключить пинг-ответы на модеме
будьте очень осторожны с умными скриптами, запущенными на вашем сервере (php, cgi, формы загрузки и т. д.), чем меньше, тем лучше, чем больше ограничений, тем лучше

Вы также можете настроить брандмауэр с набором правил белого списка, например, ограничить публичный исходящий трафик, который будет инициирован входящими tcp-запросами на вашем http-порту прослушивания, и входящий публичный трафик, ограниченный вашим http-портом назначения, запретить новые исходящие tcp-соединения. Использование armor или selinux также является хорошей идеей.

Answer

ИМХО, вам следует обратить особое внимание как минимум на следующие пункты:

будьте очень осторожны с обновлениями безопасности программного обеспечения, чтобы уязвимости исправлялись по мере их обнаружения, особенно в Apache и общедоступных веб-приложениях, которые вы можете запустить (блог, вики ...)
предпочитаю использовать нестандартные порты TCP, чтобы быть менее уязвимым для ботов
отключить пинг-ответы на модеме
будьте очень осторожны с умными скриптами, запущенными на вашем сервере (php, cgi, формы загрузки и т. д.), чем меньше, тем лучше, чем больше ограничений, тем лучше

Вы также можете настроить брандмауэр с набором правил белого списка, например, ограничить публичный исходящий трафик, который будет инициирован входящими tcp-запросами на вашем http-порту прослушивания, и входящий публичный трафик, ограниченный вашим http-портом назначения, запретить новые исходящие tcp-соединения. Использование armor или selinux также является хорошей идеей.

Насколько безопасно размещать HTTP-сервер Apache дома?

решение1

решение2

Связанный контент