Где найти информацию по безопасной настройке nginx + php-fpm + wordpress?

Question

[Dubrovin]

Доброго времени суток,
Я в настройке серверов новичок, установил ISPmanager на Ubuntu 16, настроил сервер nginx + php-fpm 7 + mysql 5.7.
Мои сайты работают на WordPress, для безопасности использую плагин BBQ Pro (5/6G Firewall).
Для безопасности сервера сменил стандартный порт SSH и разрешил подключение только со своего IP, также разрешил в конфиге nginx заходить в phpmyadmin только со своего IP.
WordPress и плагины всегда использую последние.
Какие могут быть потенциальные дыры в безопасности такого сервера "из-коробки" (ispmanager) и где можно почитать мануалы по безопасной настройке такой конфигурации? Спасибо.

Answer 1

[Sanes]

Нормально там все с безопасностью. Проверьте в каком режиме работает Apache2, если вы его используете. Если mpm-itk, то все в порядке, если prefork, то переключайте www-домены на PHP FastCGI

Comments

[Dubrovin]

Я Apache отключаю, насколько я понимаю, и использую только nginx + php-fpm, а где можно почитать про режимы работы апач ?

[Sanes]

bezborodov: В интернете можно почитать. Если не используете, значит и не заморачивайтесь.

Answer 2

[Erelecano Oioraen]

> Для безопасности сервера сменил стандартный порт SSH

Это никак не влияет на безопасность.

> и разрешил подключение только со своего IP

А завтра провайдер вам IPшник сменит.

Для безопасности нужно делать вход только по ключам, запрещать парольный вход, а не прятать голову в песок и не страдать херней со сменой портов.

phpmyadmin лучше вообще отправить чисто на localhost и пробрасывать к нему порт используя штатный проброс портов ssh'а.

Comments

[Dubrovin]

А можно где-то почитать про настройку phpmyadmin на локалхосте с пробросом портов ssh ?

На счёт использования ключей - я насколько понимаю ключ можно украсть точно также как и пароль?

[Sanes]

bezborodov: Можно. Кому это надо?

[Erelecano Oioraen]

bezborodov: проброс портов описан в man ssh

-L [bind_address:]port:host:hostport
-L [bind_address:]port:remote_socket
-L local_socket:host:hostport
-L local_socket:remote_socket
Specifies that connections to the given TCP port or Unix socket on the local (client) host are to be forwarded to the
given host and port, or Unix socket, on the remote side. This works by allocating a socket to listen to either a TCP
port on the local side, optionally bound to the specified bind_address, or to a Unix socket. Whenever a connection
is made to the local port or socket, the connection is forwarded over the secure channel, and a connection is made to
either host port hostport, or the Unix socket remote_socket, from the remote machine.

Port forwardings can also be specified in the configuration file. Only the superuser can forward privileged ports.
IPv6 addresses can be specified by enclosing the address in square brackets.

By default, the local port is bound in accordance with the GatewayPorts setting. However, an explicit bind_address
may be used to bind the connection to a specific address. The bind_address of “localhost” indicates that the listening port be bound for local use only, while an empty address or ‘*’ indicates that the port should be available from all interfaces.

Про ключ. В отличии от пароля ключ невозможно подобрать брутфорсом, плюс вам никто не мешает использовать ключ с паролем, таким образом даже если злая Бука украдет у вас секретный ключ она получит дулю с постным маслом.

При этом отключение парольного доступа сходу отшивает всех ботов, ибо они отваливаются сразу после попытки поговорить с вами.