作为 Linux（网络）托管服务提供商，您面临的常见安全问题

Question

对拥有自己的虚拟主机（物理服务器或经销商）的用户的问题：

在您的服务器上是否有任何常见的安全问题需要处理？关于应该禁用的麻烦事情有什么建议吗？我应该避免任何针对虚拟主机的愚蠢安全错误？最近是否有任何影响虚拟主机的漏洞？

Answer 1

为任何拥有 PayPal 帐户或信用卡的人提供用户级别访问权限的做法本身就是一种疯狂。在过去六年的大部分时间里，我一直在托管行业工作，但我仍然觉得它很疯狂。

这是我为大多数服务器（共享或非共享）所做的工作列表，没有特定的逻辑顺序：

• 我几乎从不使用发行版提供的内核。我保留了自己的内核树，它与 Linux 主线保持同步……只要 grsecurity 允许。它不仅是一种安全措施，也是一种优化措施。你不会在我们的内核中找到像并行/USB/音频支持这样的东西（因为网络服务器不需要它们）。内核构建为仅使用我们需要的板上的东西。
• 9/10 糟糕的事情会被有缺陷的用户脚本引入。许多客户对 PHP 的了解足够多，因此很危险。mod_security 是我最好的朋友之一，我为强化规则集的订阅付费，并且几乎每周更新一次。
• 审计很关键，我还建议使用 OSSEC 或类似的东西。
• 我的所有服务器都连接到维护 LAN，我可以独立于公共网络访问它。当/如果事情确实变糟并且您发现您的服务器忙于在 Internet 上发送垃圾数​​据包，您会很高兴有另一种方式进入。我还在所有服务器上安装了 IP KVM，或者 IPMI，具体取决于硬件。
• 最近，我一直在使用 Xen 作为共享服务器的管理层。我创建了一个拥有 99% 系统内存的访客。这使我可以轻松地进行文件系统修复/快照/等操作。如果出现问题，它确实可以帮助恢复（并且可以方便地从共享服务器隐藏 LAN）。
• 我维护着一个非常严格的基于 iptables 的防火墙，在出口方面尤其严格。
• 我很小心谁可以访问系统编译器和链接工具。
• 我虔诚地更新系统软件。
• 我会定期扫描以确保人们不会在不知不觉中运行 Wordpress、PHPBB 等流行应用程序的旧版本和易受攻击版本。
• 我提供免费安装客户“在 Internet 上找到”的东西。这确实有助于我审核托管内容，同时为客户提供额外价值。它还有助于确保安全和正确地安装东西。
• 始终，始终，始终强化 PHP，确保您也对 PHP 使用 suexec。没有什么比在 'nobody' 拥有的 /tmp 中找到机器人更糟糕的了 :)

最后，最后但并非最不重要的：

• 我实际上阅读了系统日志文件。如此多的主机只有在发现问题后才跑来查看出了什么问题。即使在使用 OSSEC 等工具时，积极主动也很重要。