我想build立一个相当安全的UNIX服务器。 我已经实施的机制:
你会添加什么与服务无关的安全机制? 你使用什么机制? 服务器将运行Apache&Postfix。 为Apache隐藏c的服务器信息。 没有什么我能想到的Postfix。 谢谢
哇,你真的扔了,除了厨房的水槽在那台机器上。 请不要采取这种错误的方式,但从你的问题来看,你可能不是超级经验。 如果我错了,我很抱歉。
我的观点是, 你要比在你的机器上投入多less安全软件要重要得多。 具体而言,您的知识水平,经验和对细节的关注对您的安全设置的成功至关重要。
如果您没有维护这些应用程序的经验或能力,那么您将面临虚假的安全感。
这就是说,你真的在这里覆盖了很多基地。 我唯一看不到的是基于主机的入侵检测。 例如AIDE或Tripwire
我会添加备份。
你真的在networking安全方面全力以赴。 只使用这些工具的一个子集可能是足够的。
禁用任何和所有您不需要的networking服务。 如果您的networking服务只能在服务器上访问,请让它们仅在回送接口上进行监听。
在你的服务器上实现所有这一切的缺点是:
每个应用程序都会增加潜在的漏洞。 如果你不擅长保护应用程序,那么你很可能使你的服务器更安全!
如果你知道如何configuration和调整snort,那就把它保留在那里,否则会给你一个错误的安全感。
Portknocking – 除非您对无形服务有特殊要求,否则毫无意义。 使用基于证书的身份validation的普通SSHD可能会更好。
看看安全堆栈交换这个问题的一些想法。