Нужен совет по увеличению безопасности ubuntu+apache

Alexander TheGreat

Guest

Это нравится:0 Да/0 Нет

04.04.2011 22:10:52

Всем привет. Я не очень опытный системный администратор.
У меня в качестве сервера стоит ubuntu, на котором крутится tomcat6 и сервер на java, сервер принимает входящие соединия через сокеты. Сервер маленький, просто перенаправляет трафик из томката от веб сервиса в сокеты к мобильным клиентам. Еще внешнему миру виден 22й порт. На веб сервере простенькая программка на GWT, с базой данных ничего не работает.
Это вообще стандартный убунту, постоянно обновляется. Скажите, на что в первую очередь стоит обратить внимание? Как улучшить взломостойкость?
Я думал запихнуть в jail или вообще виртуальный сервер поднять на virtual box, что посоветуете? Желательно чтобы если упали мои программки, то к другим данным на сервере доступа не было.
Спасибо.

SOLDIER

Guest

Это нравится:0 Да/0 Нет

04.04.2011 22:19:44

Как минимум - ssh перевесьте с 22 порта на какой-нибудь нестандартный. ну, например, 9000. А то кулхацкеры замучают, пытающиеся пароли подобрать.

Или Вас интересуют вопросы защиты именно Томката? Ну, c iptables покрутите на предмет основных правил защиты. Примеров в Интернете - масса. Вон хотя в джентушном вики есть пример настройки файрволла.

Изменено: SOLDIER - 04.04.2011 22:21:05

Alexander TheGreat

Guest

Это нравится:0 Да/0 Нет

04.04.2011 22:40:17

Пароль около 40 символов напоминающий md5, подобрать его проблематично. Интересует вообще защита системы в целом, чтобы с помощью уязвимостей в ubuntu, томкате, ssh нельзя было получить доступ к компьютеру

Я посмотрю про iptables, спасибо. Вообще ubuntu tomcat ssh из коробки тяжело сломать? То есть в самих них есть какие то очевидные дыры при условии постоянного обновления из репозитория?

bonubonu Guest	#4 Это нравится:0 Да/0 Нет 04.04.2011 23:20:33 Запускайте веб сервер в chroot-окружении.

SOLDIER

Guest

Это нравится:0 Да/0 Нет

05.04.2011 08:29:36

Цитата
Alexander TheGreat пишет: То есть в самих них есть какие то очевидные дыры при условии постоянного обновления из репозитория?

Из того, о чем я слышал - можно сделать вывод, что большинство взломов все-таки происходят из-за человеческого фактора. В большинстве случаев из-за дырявых скриптов, которыми обвешивают Веб-серверы. Или слабых паролей к логинам. Уязвимости в том же ssh, по причине которых он обновлялся (openssh, если точнее), в большинстве случаев позволяли просто повышать привилегии в системе, то есть использоваться для "углубления" в систему, если можно так выразиться. Лично меня чуть настораживает больше java, которую использует Tomcat. В ней периодически находят какие-нибудь какашки в части секьюрити. Еще один вариант - поставить (например) в качестве фронтэнда nginx, который затем перенаправляет все http-запросы непосредственно к Tomcat. Но это всего лишь мысли - сам с Томкэтом не заморачивался - все как-то больше с Апачем.

Изменено: SOLDIER - 05.04.2011 08:30:30

RU_LIDS

Guest

Это нравится:0 Да/0 Нет

05.04.2011 11:52:19

Цитата
Alexander TheGreat пишет: Пароль около 40 символов напоминающий md5, подобрать его проблематично.

Необходимость перевесить ssh на другой порт не в том, что его будут брутить, а в том что существует теоретическая вероятность нахождения уязвимости в самом сервисе. Такое уже бывало. Перевешиванием его на другой порт Вы серьезно осложняете автоматизированную эксплуатацию такой уязвимости.
Это стандартная практика информационной безопасности. Использование нестандартных портов и изменение "информационных баннеров".

Так же могу посоветовать разобраться с AppArmor - родной убунтушной технологией.

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?