Como aumentar a segurança de seu servidor dedicado

Os benefícios dos servidores dedicados são diversos Dentre os principais podemos citar: alta performance, estabilidade, controle total e acima de tudo, segurança.

Os servidores dedicados gerenciados pela HostDime passam por uma verificação rigorosa de segurança antes e durante a montagem para dar mais tranquilidade aos nossos clientes. Neste artigo confira os 10 passos principais de verificação.

Mas primeiro, há outras  maneiras de reforçar a segurança de seu servidor, seja você um cliente HostDime ou não. Execute estas etapas para reduzir o risco de um ataque:

1. Altere a porta padrão do SSH (secure shell)
Isto evita ataques automatizados de força bruta ao serviço.

 

2. Utilize apenas TLS (Transport Layer Security) interfaces protegidas para administração do servidor
TLS criptografa o tráfego entre o seu servidor e seu computador. Isto impede que hackers capturem informações de login e usem seu servidor para ataques.

 

3. Realize o acesso apenas a partir de computadores e redes confiáveis

 

4. Antes de realizar o acesso garantir que está fazendo a partir de um computador livre de malware.

Preferencialmente evite fazer acesso ao seu servidor a partir de um computador que é compartilhado com outras pessoas.

 

5. Manter-se atualizado sobre as últimas correções/atualizações para os scripts/programas utilizados.

Adicionar os sites/redes sociais dos desenvolvedores nos favoritos e obter informações rapidamente sobre.

 

E agora, vamos as auditorias realizadas pela equipe HostDime na instalação/montagem de seu servidor.

 

Auditoria e Segurança em servidores dedicados gerenciados

1. Verificar versão do Kernel
O Kernel é a base de um sistema operacional. Nossos administradores sempre verificam a versão atual do kernel para certificar de que não há qualquer vulnerabilidade que possa comprometer o servidor. Se alguma vulnerabilidade do kernel for descoberta, nós atualizaremos imediatamente e entraremos em contato com você para agendar um reboot.

 

2. Configurações do PHP

Há algumas configurações PHP que nós encorajamos a desativação globalmente, são elas:

“Allow_url_fopen” Essa diretiva permite que o PHP trate qualquer URL como se ela fosse um arquivo. Isso representa um risco de segurança para certas aplicações PHP que utilizam as funções ‘fopen’ e o ‘include’. A maioria das aplicações não requerem a diretiva “allow_url_fopen” e nós recomendamos fortemente que você a desabilite (especialmente em servidores que ainda utilizam PHP4).
“Allow_url_include” Esta diretiva foi adicionada no PHP5.2. A desativação do “allow_url_include” permite que usuários possam ativar a diretiva “allow_url_fopen” de forma segura, caso seja necessária para alguma aplicação. Quase nenhuma aplicação PHP requer ativação da diretiva “allow_url_include”. Por esta razão, nos recomendamos que o “allow_url_include” esteja sempre desativado.
“register_globals”Esta diretiva permite que variáveis globais do PHP sejam definidas no momento da execução do script através da URL. Com essa diretiva ativada, invasores podem modificar variáveis arbitrárias do PHP. Isso pode abrir brechas para SQL injections, execução de códigos arbitrários e exploração de aplicações vulneráveis. Em geral, nós recomendamos que a diretiva “register_globals” seja desativada.
Além dessas 3 configurações, nós também recomendamos que certas funções vulneráveis do PHP sejam desativadas. Ao fazê-lo, você estará reduzindo a efetividade de PHP shells e outros malwares baseados em PHP. As funções que nós geralmente recomendamos a desativação são:
dl, exec, shell_exec, system, passthru, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid

 

3. Verificação do conjunto de regras do mod_security O módulo mod_security – do Apache – verifica as requisições HTTP que chegam     ao servidor em busca dos padrões de ataques mais conhecidos. Nós mantemos um conjunto de regras que previne diversos ataques. Sempre           nos certificamos de instalar o conjunto de regras mais atualizado antes de liberar um servidor para que o cliente possa utilizá-lo.                               Opcionalmente, pode-se configurar o servidor para efetuar atualizações diárias do conjunto de regras, garantindo assim mais segurança uma vez que as regras mais recentes estarão em ação.

 

4. Verificação das configurações do CSF/LFD CSF/LFD é um conjunto de aplicações de firewall que suporta diversas rotinas de segurança: detecção e prevenção automática de ataques de força bruta, acompanhamento de processos, proteção contra ataques SYN FLOOD       e muito mais. Por padrão, todos os nossos servidores Linux são configurados com o CSF/LFD.

 

5. Verificação dos binários do sistema Nós auditamos as versões de pacotes de binários (BIND, udev, Apache, etc) do seu servidor para garantir elas estejam sempre atualizadas e não vulneráveis a qualquer exploração de falha conhecida.

 

6. Configuração de partição Nossa equipe realiza alterações de configuração em partições para diminuir o risco de ataques baseados em sistema de arquivos e para reduzir a sobrecarga I/O.

 

7. Desativar serviços normalmente desnecessários. Nossa equipe desativa serviços desnecessários para garantir a segurança de seu servidor.

 

8. Implantar configurações focado em segurança iniciais. Implementamos configurações iniciais focado na segurança dos principais serviços MySQL, Exim, Cpanel, FTP, SSH, PHP.

 

9. Instalação do Rkhunter. Rkhunter é um programa usado para detectar malwares indesejáveis. Nós instalamos o rkhunter e deixamos o mesmo sendo executado em seu servidor.

 

10. Instalar o BusyBox. O BusyBox é um software que fornece várias ferramentas Unix em um único arquivo executável.

O serviço de gerenciamento avançado da HostDime é indicado para clientes que não dispõem de tempo ou de uma equipe técnica especializada. E você já conhece nossos planos dedicados gerenciados? Deixe seu comentário!