답변:
이러한 권장 사항은 내 머리 꼭대기에서 벗어난 것이며 포괄적 인 것은 아닙니다.
Linux에서 모범 사례를 구현하는 일련의 스크립트 인 Bastille을 확인하십시오.
일반 텍스트 프로토콜을 통해 인증 데이터를 보내지 마십시오. 예를 들어, FTP를 비활성화하십시오. Apache를 통해 인증 데이터를 보내는 경우 SSL을 사용하십시오.
GUI 인터페이스를 포함하여 불필요한 소프트웨어를 비활성화하고 제거하십시오.
SUID 비트가 설정된 파일을 감사하고 제거하십시오. (이것은 비 루트 능력을 심각하게 제한 할 것입니다. 각 개별 변화에 대한 의미를 이해하십시오.)
쓰기 가능한 공개 디렉토리를 감사하고 쓰기 가능한 비트를 제거하십시오. (/ tmp 만 그대로 두십시오.)
데몬을 루트로 실행하지 마십시오.
보안 모범 사례를 위해 소켓에서 수신 대기하는 모든 다중 사용자 소프트웨어를 조사하십시오.
시스템에 사용자를 추가하지 않는 것이 가장 좋은 방법 중 하나입니다. 다중 사용자 시스템은 세부 사항에 더주의를 기울여야합니다.
비밀번호 표준을 시행하십시오. 예 : 문자와 숫자를 사용하는 영숫자가 아닌 문자 10 자 이상. 암호 파일이 손상된 경우 무차별 강제 실행을보다 어렵게 만듭니다. 시스템을 통해이를 시행하십시오.
최소 10 분의 잠금으로 5 번의 인증 시도 실패 후 사용자를 잠급니다. 사용자가 과거 5 개의 암호를 사용할 수 없도록 암호 기록을 유지하십시오.
더 큰 환경에서는 여러 서브넷으로 네트워크 분리를 사용하여 위험을 격리해야합니다. 소규모 환경 인 경우 로컬 시스템에서 방화벽을 실행하여 노출을 제한하는 것이 좋습니다. 예를 들어 IP에 SSH 만 허용합니다. 추가 레이어에도 tcpwrapper를 사용할 수 있습니다. (/etc/hosts.allow, /etc/hosts.deny)
물론 모든 소프트웨어를 최신 상태로 유지하십시오. 특히 공개 데몬.
SSH로 :
without-password
(키 쌍만)아파치와 함께 :
MySQL의 경우 :
보안을 위해 php.ini 튜닝을 연구하는 것이 좋습니다. 기본적으로 더 위험한 소프트웨어입니다.
다음은 설정의 기반으로 사용할 수 있고 배포에 따라 변경 될 수있는 좋은 기사입니다. http://it.toolbox.com/blogs/rayheffer/how-to-build-a-secure-lamp-web- 서버와 센 토스 -5-36786
국방 정보 보호 진흥원 (KISA)은 세트가 보안 체크리스트를 시작하는 좋은 장소입니다. 각 항목의 이론적 근거를 이해하는 것이 더 좋지만 빠른 답변은 아닙니다. Enclave, Network, Unix 및 Web Server STIG 를 살펴 보는 것이 좋습니다 .