Настройка безопасности сайтов на VPS/VDS
2015-06-27 17:58:43
Вы приобрели выделенный или виртуальный сервер, либо слепили свой в домашних условиях. И теперь ...
+ развернуть текст сохранённая копия
Вы приобрели выделенный или виртуальный сервер, либо слепили свой в домашних условиях. И теперь пришло время задуматься о безопасности сайтов, так как брешь в одном из них может подвергнуть опасности и все остальные.
На хостинге эти проблемы решает сам хостер, а вот на собственном сервере это уже задача администратора. И даже если у Вас хостинг с предустановкой, то вероятность того, что на нем ограничены права для каждого пользователя и сайта маловероятна. Скорее всего Ваш провайдер ограничился установкой стандартных приложений vsftpd, Apache, nginx, php, mysql и тд и тп.
Будем считать, что необходимый комплект на сайте установлен и пришло время позаботиться о безопасности. Если же нет, то находим подходящую инструкцию по «настройке nginx в качестве front-end к apache» и возвращаемся к вопросу безопасности.
Безопасность будем строить из следующих принципов:
Первое это создание пользователей с оболочкой /bin/false на примере vsftpd и proftpd. Это ограничит выполнение скриптов в пределах собственной директории.
Второе разделение пользователей на сайте. Мы сможем запускать наши сайты от имени разных юзеров, и доступ к одному из них, никоим образом не подвергнет опасности другой.
Также я укажу на несколько других известных мне моментов безопасности, если я что-то упустил, то буду рад дополнить статью. А так как единой статьи указывающей на все необходимые моменты безопасности на просторах интернета я не нашел, то думаю статья будет достаточно полезной.
По сути данную памятку я писал для себя исходя из уже существующего и работающего сервера, как завершающий этап установки, так что статья подойдет и для тех, кто только устанавливает сервер, так и для тех, кто хочет его обезопасить и немного ускорить php-интерпретатор, так как этой темы тоже придется коснуться.
Читать дальше →
Тэги:
ddos-защита,
fail2ban,
modevasive,
mod_security,
php,
suexec,
безопасность,
веб-разработка,
информационная
Ограничение доступа к wp-login по ip в nginx
2015-06-20 21:08:38
В последнее время
fail2ban перестал нормально защищать ... в новой версии
fail2ban, метод стал ...
+ развернуть текст сохранённая копия
В последнее время fail2ban перестал нормально защищать от брутфорса на wordpress. Может быть, я что-то сделал неправильно, а может, благодаря каким-то изменениям в новой версии fail2ban, метод стал неэффективен: совпадения по правилам находит, но не банит ip. В общем, раз такая ерунда, решил ограничить доступ к файлу wp-login.php по ip. Здесь есть один нюанс: для […]
Тэги:
fail2ban,
nginx,
безопасность,
брутфорс,
защита
Спам-боты, postfix и fail2ban
2015-04-09 22:33:34
На моём сервере Postfix работает в качестве сервера исходящей почты, то есть только отправляет почту ...
+ развернуть текст сохранённая копия
На моём сервере Postfix работает в качестве сервера исходящей почты, то есть только отправляет почту с сайтов. Естественно, открыт 25-ый порт. Но большую часть времени туда долбятся носом всякие боты, пытающиеся воспользоваться сервером, как открытым релеем. :) Естественно, у них ничего не получается, ибо настроены правила. Но логи засоряют. Некоторые боты подключившись, сразу обрывают соединение, […]
Тэги:
fail2ban,
postfix,
безопасность,
защита
Брутфорс xmlrpc.php в WordPress
2014-09-05 12:18:50
Сегодня заглянул в access-лог одного сайта на вордпресс и обнаружил множество запросов подобного ...
+ развернуть текст сохранённая копия
Сегодня заглянул в access-лог одного сайта на вордпресс и обнаружил множество запросов подобного рода: 1.234.83.77 - - [05/Sep/2014:12:07:01 +0600] "POST /xmlrpc.php HTTP/1.1" 200 441 "-" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" 1.234.83.77 - - [05/Sep/2014:12:07:01 +0600] "POST /xmlrpc.php HTTP/1.1" 200 441 "-" "Mozilla/4.0 (compatible; […]
Тэги:
fail2ban,
wordpress,
безопасность,
брутфорс,
защита
Parallels Plesk 12: вот, новый поворот
2014-08-28 12:19:31
Мы в этом году несколько раз высказывали свое мнение о том, что рынок традиционного хостинга ...
+ развернуть текст сохранённая копия
Мы в этом году несколько раз высказывали свое мнение о том, что рынок традиционного хостинга уже вряд ли сможет жить, как раньше (например, здесь и на Хабре). Было бы странно, если бы мы проигнорировали эти тенденции при разработке собственных продуктов. Поэтому новую версию решения Parallels Plesk 12.0 (ПО для управления работой всего, что касается веба – доменами, сайтами, почтовыми ящиками, DNS и т.д.) делали с учетом новой реальности, где время исключительно ценовых войн среди хостеров уже прошло. Сегодня на рынке начинают и выигрывают решения добавленной стоимости, направленные на отдельные сегменты аудитории, а не стандартные пакеты VPS или shared hosting, как раньше. Так, по данным Netctaft, те, кто создает предложения в области веб-хостинга под разные целевые аудитории, увеличили свою долю на рынке с 5 до 51% за последние 3 года.
Исходя из этой тенденции, мы разделили продукт на 4 разные «редакции» – для веб-админов, веб-разработчиков, веб-студий и хостеров, у каждой из которых теперь свой набор инструментов и фич. Каких именно – под катом. Мы бы хотели узнать, каких инструментов для ваших сценариев лично вам не хватает.
Читать дальше →
Тэги:
antispam,
fail2ban,
mod_security,
parallels,
plesk,
security,
wordpress,
блог,
веб-разработка,
компании,
хостинг,
хостинг-панель