El 3 de febrero de 2010 09:27, Pablo Quiroga <[email protected]>escribió:
> Hola lista, > > Me toca la tarea de instalar un LAMP mas un repo GIT en una Maquina > Fisica o VM (todavia no se donde). > > No tengo problemas con la instalación y configuración. Pero no tengo > mucha experiencia en el área de seguridad. Por el momento el puerto 80 > y 22 son los unicos necesarios hacia afuera, y el 3306 para MySQL, > pero solo para localhost. > En principio lo más importante: tener el software actualizado. Si podés metelo en el cron y que se actualice solo todas las noches. Teniendo versiones actuales, en principio, es poco probable que tengas problemas, incluso sin firewall. Pero para aumentar la seguridad, lo obvio: sólo permitir los puertos imprescindibles. De esa forma si aparece un problema de seguridad que se empiece a explotar antes de que esté la actualización, hay menos peligro. El login como root viene deshabilitado por defecto. Bueno, ahora la última viene que no te lo permite con password pero sí con clave rsa. Y sí se permite a los usaurios normales que después si quieren podrán hacer su. A mi me parece un comportamiento bastante razonable. Si queres evitar los intentos masivos de ssh que te ensucian los logs y... bueno, quien sabe, hasta te puden adivinar una clave, una manera sencilla es cambiar el puerto del ssh. Si está detrás de un router que está haciendo port forwared, simplemente cambias el puerto en el router y en el linux no tenes que tocar anda. Así en la red local no tenés que estar poniendo -p <nn> para seleccionar el puerto. Finalmente, si sos muy paranoico, selinux o appguard son una protección extra. Yo en realidad con medidas básicas nunca he tenido problemas, y he administrado muchos servidores. En este momento son 6, y uno incluso con una versión de hace varios años. Hasta he recibido ataques de denegación de servicio (intencionales contra el servidor) pero nunca han logrado meterse.
