스택 오버플로에 대한이 질문 과 마찬가지로 개인 인트라넷 유형의 상황에 익숙한 sysadmin은 공용 사이트의 관리자가되기 전에 무엇을 알아야합니까?
“방치하지 마십시오”와 같은 보안 관련 항목 telnet이거나 트래픽이 많은 사이트의로드 균형 조정 방법과 같은 실제적인 항목 일 수 있습니다.
답변
-
서버에 존재하는 모든 앱, 모든 바이너리 및 모든 패키지는 책임입니다. ‘최소 비트’원칙에 가입하십시오. 설치되어 있지 않으면 손상 될 수 없습니다.
-
Tripwire 또는 이와 유사한 침입 탐지를 구현하고 자주 스캔하십시오.
-
하드웨어 방화벽에 투자하고 응용 프로그램에 필요한 포트만 엽니 다. 관리 포트 (ssh, rdp 등)가 공개적으로 표시되지 않도록하십시오. 승인 된 관리 IP 주소로 제한하십시오.
-
프로덕션 환경으로 전환 할 때 방화벽 / 스위치 / 라우터 구성을 백업하십시오. 이러한 장치 중 하나가 손상된 경우 시계가 작동 할 때 구성을 한 줄씩 감사하는 것보다 장치의 두뇌를 지우고 구성을 다시로드하여 복구하는 것이 훨씬 빠릅니다.
-
새로운 포트가 열리지 않도록 외부에서 환경을 자주 nmap하십시오.
-
인터넷을 절대 믿지 마십시오. 인터넷에 서비스를 제공하는 것이 무엇이든 가능한 한 안전해야합니다 (예 : SQL 쪽 공격을 중지하기 위해 서버 측 입력 유효성 검사 및 위생 처리 수행).
-
패치 위에 올려 놓으십시오.
-
손상된 경우 새로 다운로드 한 미디어를 사용하여 처음부터 다시 빌드하십시오. 더 이상 백업이 안전하다고 믿을 수 없으며, 트립 와이어가 도움이되지 않아도 비활성의 실행 불가능한 데이터 이외의 다른 데이터에 대해서는 손상을 입지 않았습니다.
답변
네트워크 강화에 유용한 도구 중 하나는 nessus입니다
기본적으로 외부 서버에 설정하고 알려진 악용으로 네트워크 를 공격 하려고 시도 합니다. 안전 모드로 설정하거나 (공격이 서버에 충돌하지 않는 경우) 안전하다고 확신하는 경우 모든 것을 패치했거나 필요에 따라 안전하지 않은 모드로 서버를 재부팅 할 수 있습니다 .
그런 다음 발견 된 취약점 / 약점을 확인하고 심각도에 대해 평가하고 문제를 해결하기위한 조치를 권장 할 수있는 각 시스템에 대해 매우 완전한 등급별 보고서 를 제공 합니다.
답변
백업 및 재해 복구 시스템의 작동 방식과 시스템이 손상되었을 때 시스템을 복구하는 방법을 알아야합니다.
답변
이것은 약간 모순되지만 보안 측면에서는 내부 서버와 외부 서버를 구분하지 않습니다. 조만간 누군가가 방화벽에서 실수를 할 것이고, 경영진은 중요한 클라이언트 때문에 서버가 노출 될 것을 주장 할 것이고, 회계의 베티는 어떻게 든 감염된 가정용 컴퓨터에서 VPN 클라이언트를 얻을 것입니다.
즉, 레이어는 친구이므로 기본적으로 블랙리스트에 추가해야합니다.
계층-여러 보안 계층이 있어야합니다. 예를 들어, 하드웨어 방화벽 및 소프트웨어 방화벽. 이들은 이론적으로 동일한 목적을 제공하지만 여러 계층을 갖는 것은 실수로부터 보호하고 단일 계층이 악용되는 결과를 완화합니다.
계층화의 또 다른 측면은 본질적으로 다중 DMZ 인 “호모 컴빙 (homeycombing)”이다. 어느 시점에서 귀하의 컴퓨터와 귀하의 계정에 액세스하는 사람들 사이에 어느 정도의 신뢰가 있어야합니다. 이러한 상호 작용 지점을 좁힐 수 있으면 언제든지 신뢰할 수있는 트래픽 종류를 엄격하게 제어 할 수 있습니다. 예를 들어 데이터베이스 서버와 인터페이스 / 앱 서버를 분리하면 신뢰 수준이 좁아집니다. 앱 서버가 손상되면 공격자는 인프라에 최소한의 발판을 마련합니다 (즉, 공격을 계속하고 다른 서버를 악용하려는 경우 신뢰할 수있는 신뢰 지점 만 보유).
기본적으로 블랙리스트에 관해서는 기본적으로 모든 포트를 닫고 열려있는 모든 포트, 액세스 할 수있는 사용자 이름, 설치하는 앱 등에 대한 정당성을 요구해야합니다 (자신의 경우에도)
답변
모든 공용 인터페이스가있는 시스템 에서 보안 암호 정책 을 구현하고 john the ripper 와 같은 암호 크래킹 유틸리티를 사용하여 암호 파일을 테스트 하여 사용자에게 보안 암호 가 있는지 확인하십시오.
여러 번의 시도 실패 후 IP 주소 를 차단 하여 무차별 암호 추측 공격으로부터 보호 할 수 있습니다 . 이것을위한 좋은 도구 (Linux에서)는 fail2ban입니다
답변
스위치가 해킹되어 누군가가 데이터를 조작 할 수 있습니다. 스위치를 소유하지 않은 경우 IP 별 방화벽 액세스 제한으로 충분하지 않을 수 있으므로 VPN을 설정하십시오.
포트는 열어 두지 말고 사용자와 해커가 액세스하기를 원하는 포트를 그대로 두십시오. 매달 다른 사이트에서 자신의 서버를 검색하십시오.
해커가 ssh의 기본 포트를 열어 두지 마십시오.