Всем привет.
С серверами дело имею редко, хотел спросить, кто и как организовывает защиту своих железных или облачных коней?
Сейчас для примера поднял сервер на Дебиане, как веб-сервер - стоит Apache 2. База в лице MariaDB 10. Фтп - vsftpd. Фаерволлом закрыл все что можно снаружи, кроме http/s, ssh, ftp.
Изменил стандартный 22 порт на рандом из головы (шучу, мой номер квартиры

). Поставил fail2ban.
Кто что еще делает? Читал про системы мониторинга угроз и прочего, насколько они действенны, насколько они грузят и без того дохлую ВПСку и т.д.
Apache сохраняет логи веб-сервера по умолчанию в "/var/log/httpd/". Логи - очень важная вещь, позволяющая посмотреть, например, не совершались ли какие-либо попытки проникновения в ваш веб-сервер (затем вы сможете проверить IP адреса и время). Они записывают ВСЕ попытки подключения. Другая хорошая вещь, которую можно сделать с лог-файлами - это перемещение их в другие места (на тот случай, если кто-нибудь сможет проникнуть на ваш веб-сервер и захочет замести следы, но не найдет логи).
Хорошим способом является отправка вам электронного сообщения, когда происходит что-то необычное (например, несколько попыток обойти защиту вебсервера). Таким образом вы можете установить отправку сообщений на пейджер или ваш мобильный телефон.
Привилегии
Вы должны ВСЕГДА запускать веб-сервер с самыми низкими возможными привилегиями. Например, ВСЕГДА запускайте Apache с правами "nobody", но НИКОГДА с правами "root". Таким образом, если кто-то и проникнет в ваш веб-сервер, то он не сможет сделать ничего серьезного, если, конечно, не
установлено больше никаких других сервисов (вот почему не следует устанавливать никаких других сервисов, кроме Apache (и "ssh", если хотите)).
CGI и PHP Скрипты
Вы должны быть предельно осторожны со своими CGI и PHP скриптами!! Огромный процент дыр в безопасности приходится на долю тех самых скриптов и программ. Вот почему вы должны ВСЕГДА проверять надежность скриптов и программ перед установкой их на вашем веб-сервере. Вы также
должны удалить все CGI, идущие в поставке с Apache.
Шифрование
Вы должны знать, что возможен перехват секретной информации путем сниффанья пакетов. Поэтому вы должны использовать шифрование для передачи информации между сервером и броузером.
Для шифрования данных вы можете воспользоваться модулем для Apache (mod_ssl - secure sockets layer).
Секретная Информация в Оффлайне
Если вы имеете дело с сайтом, занимающимся электронной коммерцией, то вы НЕ должны сохранять секретную информацию на серверной машине. Тогда где ее хранить? Что ж, лучшее, что вы можете сделать, так это подключение другого оффлайнового компьютера к своему серверу. Для соединения двух машин используйте однонаправленный кабель (таким образом информация может быть передана оффлайновой машине сервером, но получение информации с этой машины через сервер будет невозможно).
Создание Модифицированных Версий
Apache распространяется с открытым исходным кодом. Поэтому, если вы захотите модифицировать программу, то вы сможете это сделать. Это очень полезно, так как многие эксплоиты работают в соответствии с исходным кодом по умолчанию, и если вы немного модифицируете код, то
эксплоиты имеют мало шансов на выполнение своей задачи. Например, вы можете изменить место хранения лог-файлов.