Может кто-то из опытных администраторов определить список минимально необходимых мероприятий по обеспечению сетевой безопасности сервера?
Когда сервер один, то можно уделять ему любое количество имеющегося времени, а если их 20 или 50.
В этом случае возня с каждым сервером становиться на мой взгляд просто нереальной и поэтому защищены ли сервера в основной своей массе?
Или поставил ось, софт и забыл?
Потому что проще в случае взлома установить все заново и восстановить данные?

смотря как надо защищать, у меня например ipfw, portsentry и скрипт от брутфорса ssh (это моя личная паранойя), лично мне этого вполне хватает..

Больше серверов - больше админов
А так nocmonkey рулит

Больше интересует первая часть вопроса.



у тебя BSD видать. А для Линукса?

"В этом случае возня с каждым сервером становиться на мой взгляд просто нереальной" - это почему это? все можно автоматизировать, если используются контрольные панели отчасти там это реализовано, а если их нет, то можно и свои скрипты написать, не так уж это и сложно.
в идеале - укрепление ядра, наложение патчей безопасности, настройка фаерволла, установка средств мониторинга и логгинга, фиксация содержания диска и отслеживание изменений, мониоринг попыток взлома как локальных так и удаленных, проверка входящего/исходящего трафика на подозрительные сигнатуры. но, это в идеале, а реально, часть выполняют часть нет.

Хотелось бы именно о реальных вещах узнать. Что в идеале должно быть
хорошо в литературе описано.

Ну почитайте к примеру тут - http://esupport.org.ru/services/security/basic.html

Литературы по выделенным серверам пока нет, вся литература делается в Одессе и публикуется на dedic.ru

Решусь порекомендовать поставить на сервер панельку DirectAdmin, кроме копеечной цены панели и ее плюсов, получите хорошую поддержку на форуме самой панельки, с пошаговыми инструкциями как что делать + пользуйтесь New Server Checklist http://www.directadmin.com/forum/showthread.php?t=65

А при чем тут панель к безопасности?

Раз мы говорим о разных вещах, тогда не при чем

Что то это мне вообще непонятно. Литературы достаточно, в том числе у меня лично.

Вопрос вообще был , кто что делает реально.
Складывется впечатление, что никто ничего не делает.

Вывод:

опасность взлома не так велика и от хорошего взломщика ничего не спасет.

от хорошего да, неспасёт, но хороших единицы, и врятли их будут интересовать частные сервера..
но по мелочи немного себя обезопасить непомешает всё-же..

ну а так, реально себе ставят фаервол только, ну ssh защитят ключами, да больше ничего по большому счёту и неделают..

Можете назвать несколько книг, которыми Вы пользуетесь?

А в целом верно - если сервер "закажут" то его смогут если не сломать то задосить.

Фленов М. Linux глазами хакера
Колисниченко Д. Linux-сервер своими руками
Уэлш М., Далхаймер М. Запускаем Linux
Силва С. Администрирование веб-серверов. Серия "Сетевые технологии".
Шредер К. Linux. Сборник рецептов
Фликенгер Р. Взломы и настройка Linux. 100 профессиональных советов и инструментов
Смит П. Оптимизация и защита Linux-сервера






Спасибо вам большое, вы меня успокоили. Теперь понятно, что ничего делать не надо!!!!

а причем тут nocmonkey?

не надо следовать дурным примерам

Ну тогда расскажите вы , как надо, только реально, а не в идеале.

Вопрос на самом деле очень интересен многим , только вот некоторые грамотные админы не хотят делиться

Понятно.
Я когда-то тоже считал что в таких книгах "все есть", сейчас я так не считаю.
Подобная литература успевает устареть достаточно быстро...

Например у Фликенгера в его настройке описывается вариант использования selinux для виртуалхостинга?

Почитав "Администрирование веб-серверов" Вы сможете определить на какой из виртуалхостов идет DDOS атака?

Приняв к сведению руководства Колисниченко об использовании GUI для настройки сервера будете поднимать там иксы?

Всю эту литературу можно рассматривать только с одной точки зрения - как (не всегда качественный) перевод штатной документации.




Это я к тому, что когда серверов много, то можно сделать по уму один защищенный вариант дистрибутива и ставить его везде с помощью оного манки - и не тратить время на настройку

уважаемый eSupport.org.ua я уверен вы владеете темой, но только одна проблема,
кроме переливания из пустого в порожнее ничего не дождешься.
Хотя вопрос был конкретный - минимальный перечень мероприятий.

Болезнь есть одна на русских форумах, вместо того чтобы сделать одно конкретное сообщение
будут посылать в гугль, умничать и т.д., а по делу ноль. Зачем тогда заходить в форум если написать три конкретные строчки лень или "ищи сам как я искал"
У меня например такой принцип, не знаю прохожу мимо, знаю отвечу конкретно.

Что касается книг из них я черпаю общее представление о состоянии администрирования, не более того. По частностям лопачу интернет.

неподелятся =) ибо опять же, фаервол и ssh (мелкая рихтовка самой системы) и всё, больше ничего в принципе сделать то и нельзя...

от ддос не спастись в любом случае, защищённый сервер - выключенный сервер, это истина..

У меня сложилось такое же впечатление, почему и вопрос поставил. Просто некоторые товарищи любят туману напускать, с определенной известной целью.
Прошу никого это не принимать на свой счет.

А чего Вы ожидаете? Что за Вас все решат?
Я могу помочь - но только с конкретным вопросом.

Ну вот старая песня.
Если не хотите ничего решать, то не встревайте в топик в следующий раз.



Я знаю цену решения вами конкретного вопроса.

Но здесь форум. Ищите жертв где нибудь в другом месте.

С конкретным вопросом заданным на форуме или на сайте dedic.ru я помогаю бесплатно.

Я бы все-таки советовал обратиться к eSupport.org.ua , хороший человек всегда поможет.
Нельзя щадить на этом деньги, извините, если обидел личным мнением.

ок, если так поставлен вопрос то скажу прямо - знаю но не скажу у меня просто нет времени чтобы "нести информацию в массы". с кем я работаю те знают что я не особо жадный по этой части, однако рупором интернета я не был и не буду.

Добавлю от себя немного конкретики:

1. Основы:

1.1. Админ 1шт. желательно с углубленным изучением security или опытом работы в прошлом + знанием shellscript/Perl \и т.п. Если сервантов много => много админов.
1.2. Ставится правильная ОС, настраиваются апдейты, админ подписывается на багтраки и вообще живет на секьюрити форумах
1.3. Тюнится система, вырубаются ненужные демоны, анинсталятся потенциально уязвимые службы и т.п.
1.4. Настраивается логирование желательно задублированное на отдельный сервер например по средствам syslog'а
1.5. Пишется/лдоставляется всякие мониторинги, и программы отчетов из самых простых logwatch, админу вверяется чтение всех отчетов.

2. Сетевая безопасность:
2.1. Фаер в данном случае iptables это основа обсуждать которую думаю нет смысла, если серваков много тогда локальный фаер + железка на канал аля CISCO PIX и иже с ними хотя при желании можно и софтверное решение дело вкуса денег и знаний.
2.2. Примочки в виде IDS по желанию например тот же бесплатный Snort, но если серверов много, то лучше слушать весь канал, а не персонально сервер. Так же желательно не забыть PortSentry.
2.3. Если денег много то ставим анти-дос модули всякие потоковые сканеры и т.п. но это экзотика и стоит не малых $$$

3. Локальная безопасность:
Тут можно много говорить укажу основы:

3.1. Локальный системы обнаружения вторжений и всякие там анализаторы изменений аля LIDS/AIDE и т.п.
3.2. Пересобираем ядро на более правильное под задачу SELinux/GrSecurity и т.п.
3.3. Скрипты скрипты и еще раз скрипты... Админ 1шт. или более занимаются написанием разного рода скриптов под задачи.

Если серверов много значит пишутся скрипты выполняющие все те же задачи только сразу на всех серверах например и т.д. но в любом случае надо понимать что один админ все и вся тянуть не сможет поэтому при приросте серверов стоит добавлять и админов, при этом желательно отделать сетевиков от безопасников и т.д. по уровню доступа, полномочиям и подконтрольному участку, но это все вопросы административной организации и к теме мало относятся.

P.S. Ну вроде примерный план действий написал, конечно не стит его воспринимать как 100% рецепт секьюрити сервантов, так как многолетние знания в одном посте не уложишь да и как подметил Esupport.org.ua не бесплатное это все дело

спасибо Kalashmatik
Ответ достойный админа. Респект.


Для неграмотных у кого есть вопросы по безопасности и iptables устанвливайте APF http://dedicatesupport.com/archives/10#more-10
и BFD http://dedicatesupport.com/archives/15
и будет нам неграмотным счастье