Заказчик

4. Защита веб-сервера на базе Debian Ubuntu.



0. update,upgrade.

1. не сидим под root.

Создать пользователя, который может делать sudo ( добавить в группу sudo).

Пользователь "временный", пароль тоже "временный". Причем время устаревания пароля меньше времени устаревания пользователя.

Разобрать /etc/passwd, /etc/shadow

2. Создать каталог, в котором будет лежать ваш сайт. Задать для него права (какие ????), sticky bit. Задать права на файлы.

3. ssh:

поменять порт, авторизация по rsa ключам (как сгенерировать на хосте, отправить на виртуалку и наоборот ???) – логин,

авторизация по rsa ключам для sftp + задать для них права (какие???). Нельзя логинится под root. IPv4. Разрешить подключение под опреленным логином (тот что создали).

Запрещаем попытку входа с пустым паролем. Количество попыток входа с неправильным паролем – 3. После 3 минут бездействия обрубить сессию.

Удалить /etc/nologin. SSH версия 2 ( почему???). Отключите аутентификацию на основе хоста.

4. Логирование пользовательской активности. Snoopy. и вопрос: как сделать так, чтобы системные логи и логи snoopy не сваливались в 1 файл.

5. Fail2ban или Denyhost. Для первого разобраться как писать jail. ignoreip, bantime, maxretry, destemail, banaction,mta = exim

Включить ssh.

6. Sftp логирование.

7. Любой веб стек: tomcat+java, iis+mono, nginx+apache +php,nginx+php-fpm итд. Настройка безопасности веб стека. php openbasedir.

обработка ошибок. Для каждого сайта – свой пользователь: Apache (AssignUserId). .htaccess, .htpasswd. nginx-http-auth.

mysql tcp wrappers. + настройки безопасности для вашего cmsframework.

8. Smtp server для отправки почты exim4.

9. IPTABLES. БЛОКИРОВКА ВСЕХ ПОРТОВ КРОМЕ HTTP, HTTPS И SSH. Разрешаем пинг

10. rkhunter по крону.