Livres / Guides pour sécuriser un server

J'ai une idée de site Web que je veux build et lancer, et je pense à get un petit VPS pour l'héberger (j'aime Linode pour leur prix, et ils semblent être largement recommandé). Le problème est que je suis vraiment très nouveau sur Linux en général, et je suis assez cassé donc je ne peux pas me permettre un server géré.

J'ai téléchargé Ubuntu Lucid Server et l'ai exécuté dans un VirtualBox, pour m'aider à apprendre et à agir comme une approximation proche du server de production éventuel. Je m'engage à apprendre, mais j'ai peur de manquer quelque chose de stupide et d'être compromis. En tant que tel, je voudrais savoir de bons guides / livres expliquant les principaux points de sécurisation d'un server LAMP.

J'ai travaillé sur les notions de base dans les tutoriels respectifs de Linode et Slicehost, mais je veux être aussi préparé que possible. Le site n'est pas encore écrit et je suis susceptible de me déployer d'abord sur un hôte partagé en tant que test d'évaluation, donc j'ai le time d'apprendre au less les bases.

Je sais garder tout à jour, configurer iptables pour autoriser seulement les trous dont j'ai besoin (ce qui semble juste les ports TCP 22, pour ssh / scp / sftp – je le changerai du port par défaut pour la security (très mineure) grâce à un bonus d'obscurité – et 80 pour http) – même si je suis confus par certains tutoriels qui disent bloquer ICMP puisque je ne sais pas pourquoi je ne voudrais pas répondre au ping – et installer uniquement les logiciels dont j'ai besoin / 'ai besoin.

Tout conseil au-delà de cela, et en particulier toutes les recommandations pour les guides, sont très appréciés.

Lisez le manuel de security Gentoo . La plus grande partie devrait s'appliquer à n'importe quelle dissortingbution Linux.

Comme vous utilisez déjà Ubuntu, je recommand leur Guide du server , qui offre un aperçu de base d'un set commun de services par défaut.

Jetez aussi un oeil à Linux Server Security d'O'Reilly. En fait, il suffit de searchr Amazon pour un certain nombre d'offres.

La list de vérification de durcissement de server Google semble renvoyer quelques bonnes, pratiques, des manières de déterminer rapidement si quelque chose a manifestement mal avec votre configuration.

Finalement, rendez- vous à la section de security de serverfault et renseignez-vous.

Edit: aussi, ICMP devrait être bloqué en fonction du message. Voir Filtrage de packages ICMP pour plus de détails.

Suggestion de lecture provenant de sources américaines (principalement) autorisées et réputées:

  • NIST General Server Security (publication SP800-123)
  • Serveurs Web publics NIST (publication SP800-44v2)
  • Services Web sécurisés NIST (publication SP800-95)
  • DISA Unix STIG
  • Indicateurs de reference CIS

Vous devriez également lire les avertissements dans fineprint dans vos manuels d'OS.

Seule une réponse partielle, mais j'ai écrit un tutoriel IPtables qui peut vous être utile. http://www.ellipsix.net/geninfo/firewall/index.html

Outre IPtables, vous devrez configurer SSH et Apache, mais ceux-ci sont déjà dotés de configurations par défaut déjà sécurisées. Il n'y a donc que quelques choses que vous devrez probablement changer. Bien sûr, au fur et à mesure que vous ajoutez d'autres fonctionnalités à votre site Web, vous devez garder la configuration à jour. Quelqu'un d'autre peut probablement reorder de bonnes references pour cela.

En fait, je vais faire de cette communauté wiki afin que si quelqu'un d'autre se sent comme l'ajout de liens, ils peuvent le faire.