Могут ли взломать Linux сервер?

Question

[bmgg]

Планирую поднимать веб-сервер, содержащий ценные данные, на nginx + django, ОС debian.
Для обеспечения безопасности:
- ставится фаервол, блокирующий все, кроме порта ssh и nginx
- ставится fail2ban и настраивается доступ ssh по ключу
- регулярные обновления системы

Какова вероятность взлома сервера и как можно повысить его безопасность?

Comments

[Ромзес Панагиотис]

VicTHOR, для присоединения к армии зомби. А это необходимо для атак на другие важные ифрастуктуры.

Answer 1

[Alexey Dmitriev]

Да могут взломать запросто. По одной простой причине - вы не профессионал в деле защиты серверов linux, так как задали здесь свой вопрос. Значит велика вероятность - что-то упустить.

Answer 2

[Владимир Коротенко]

Или взломают или нет

Безопасность это процесс сам линукс довольно хорошо защищён
А вот ваше приложение на Джанго может содержать ошибки посмотрите в сторону OWASP что бы избежать самых очевидных

Answer 3

[Рональд Макдональд]

В теории - могут, особенно, учитывая, сколько дыр и зеродеев в Линуксе.
Но ваши методы вполне снижают эту вероятность к нулю.

Правда, я бы советовал не древний Дебиан с протухшими пакетами, а какой-нибудь CentOS или Ubuntu.

Comments

[Владимир Коротенко]

Древний дебиан вс молодые раздрлбаи все же лучше стабильность

[Рональд Макдональд]

Владимир Коротенко, стабильность неисправленных дыр? Ну а Центось - это стандарт Серьёзного Ынтырпрайза.

[Владимир Коротенко]

Рональд Макдональд, Энтерпрайз это как раз шапка и дебиан

Ну и наше все Виндоуз

[Денис Юрьев]

Рональд Макдональд, в дебиан фризят версии пакетов, из-за чего там не всегда самый свежий софт в репах (правильнее - всегда не свежий), но тем не менее обновления касающиеся безопасности онных исправно выкатывают

центос, а тем более в свете последних новостей, это какой то редхат для бедных

Answer 4

[index0h]

На счет ssh и nginx: лучше открывать на публичном ip nginx, а ssh - на приватном.

Comments

[Владимир Коротенко]

Приватный это серый или просто не совпадающи с адресом сайта

[Денис Юрьев]

почему бы просто не отрубить авторизацию на ssh по паролю? в комплекте с fail2ban перебирать пароли будут дольше, чем инстанс проживет

[index0h]

Владимир Коротенко, как минимум - не совпадающий с сайтом, как максимум - доступный через приватную сеть

Answer 5

[Дядька Серёжа]

Думайте еще об архитектуре, нужно задавать вопрос как уменьшить вероятность доступа к конфиденциальным данным до момента выявления и блокировки атаки вами.
Нужно смотреть и в сторону архитектуры: веб сервер в DMZ, приложение на Jango в другом сегменте, база в другом. Доступ из интернета только до DMZ сервера по пользовательскому порту (tcp443), админка доступна изнутри сети из другого сегмента где ваш ПК.

Answer 6

[Drno]

SSH в фаерволе разрешите только с определенных IP. (например с Вашего внешнего,домашнего) Тогда точно не залезут по нему. Ну а насчет безопастности веб сервера сами думайте, от приложения зависит

Answer 7

[acwartz]

и как можно повысить его безопасность?

можно не заниматься самостоятельно всем этим а нанять специально обученных людей или даже компанию которая даст вам ftp/ssh и у вас не будет ни о чем из этого болеть голова, ну разве что за оплату услуг.

Answer 8

[Fenrir89]

ssh по ключу, в nginx запрет на заливку файлов, только чтение на директорию с php(python)

Answer 9

[Александр Фалалеев]

Все советы правильные, но главное каждый день читать новости специализированных сайтов.
0-day уязвимость в exim привела к взлому несколько сот тысяч серверов с линукс по всему миру.

Answer 10

[none7]

Уязвимости Django льются как из рога изобилия. Так, что если захотят взломать, то взломают. Его нужно по умолчанию считать не доверенным кодом как JS в браузерах. Если эти ценные данные выдаются этим движком, то о об их секретности можете забыть. Защитить его можно только закрыв Web-сервер извне, а разрешать доступ только через VPN, например пробрасывая порты через ssh. Тогда слабым местом будут только клиенты. Впрочем в нынешние времена огромных ботнетов это вовсе не гарантия защиты.