настройка защиты вебсервера

Применимость: Linux, Debian, Ubuntu

Слова для поиска: hardened


Задача:

После установки системы Linux с параметрами по умолчанию ваш вебсервер будет защищен недостаточно. Есть высокая вероятность взлома защиты.

Решение:

Здесь описан краткий набор инструкций для начального укрепления защиты которые защитят вас от большинства приемов взлома.

SSH

В файле /etc/ssh/sshd_config используйте параметр:

DenyHosts

Apache

PHP

Фаервол

Logwatch

Защита от DDOS

Munin

Отключение ipv6

Если вы не используете ipv6, то лучше отключить его

echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf 

Добавьте в файле /etc/ssh/sshd_config параметр

AddressFamily inet 

Если используется postfix

postconf -e inet_protocols=ipv4

Для exim используйте параметр

disable_ipv6 = true

и выполните update-exim4.conf

Если используется avahi-daemon, то в файле /etc/avahi/avahi-daemon.conf нужен параметр:

use-ipv6=no

Смотрите также: