Principiile pentru a vă menține serverele în siguranță sunt destul de simple.
În nicio ordine de prioritate:
- Păstrați-vă software-ul la zi. (Legat: rulați numai versiunile acceptate/întreținute.)
- Rulați numai serviciile de care aveți nevoie.
- Instalați doar software-ul de care aveți nevoie.
- Configurați corect software-ul.
- Acordați acces pe baza principiului cel mai mic privilegiu.
- Adăugați monitorizare.
Stabiliți o linie de bază și alertați asupra abaterilor.
Specificul depinde foarte mult de software-ul propriu-zis, de serviciile pe care trebuie să le rulați și de cerințele dvs.
Pentru validarea externă a configurației dvs.: Există numeroase scanere de vulnerabilitate și/sau truse de instrumente de testare la penetrare după cum puteți vedea pe liste precum aceasta: https://owasp.org/www-community/Vulnerability_Scanning_Tools
Rețineți că, adesea, astfel de scanări se bazează pe determinarea numerelor de versiune ale software-ului dvs. instalat și nu testează dacă vulnerabilitățile cunoscute pot fi exploatate cu succes. Acest lucru poate duce la multe rezultate false pozitive pe distribuțiile Linux care realizează portarea înapoi în securitate, așa cum, de exemplu, este explicat în aceste întrebări și răspunsuri Conformitate PCI: instalați Apache 2.4.17 pe Ubuntu 14.04.3?
Scanările autentificate vă pot ajuta prin verificarea versiunii pachetului, mai degrabă decât a șirului de versiuni raportat de o aplicație.
O altă abordare este mai mult din perspectiva managementului sistemului, cu managementul serverului centralizat, inclusiv managementul lansărilor și al corecțiilor.
De exemplu Ubuntu Peisaj , Palarie rosie Satelit și Microsoft SCCM
