Посоветуйте что почитать про безопасность сервера ubuntu и скриптов php. Подскажите на что в первую очередь стоит обратить внимание для безопасности скриптов и взлома, что первым делом следует сделать, закрыть какие дырки прописать какие команды?
Полезные ссылки приветствуются также приветствуется описание последовательности действий на основании своего опыта.
1. grafillo - 23 Декабря, 2014 - 15:21:31 - перейти к сообщению
2. RickMan - 23 Декабря, 2014 - 15:33:16 - перейти к сообщению
В плане скрипта: sql-inj, xss
В плане сервера: закрыть ненужные открытые порты, защититься от брута пароля (fail2ban), настроить правильно права доступа (не работать под рутом), часто менять пароли, закрыть доступ к mysql из вне (через любой mysql клиент можно подключааться через ssh тунель).
Ну так же можно сказать про частое обновление как самого сервера так и сторонних библиотек, которые используются в проекте.
В плане сервера: закрыть ненужные открытые порты, защититься от брута пароля (fail2ban), настроить правильно права доступа (не работать под рутом), часто менять пароли, закрыть доступ к mysql из вне (через любой mysql клиент можно подключааться через ssh тунель).
Ну так же можно сказать про частое обновление как самого сервера так и сторонних библиотек, которые используются в проекте.
3. esterio - 23 Декабря, 2014 - 15:48:43 - перейти к сообщению
не гик но что знаю скажу
1. настроить iptables (белый список портов) - здесь осторожно не забутьте про SSH. сделайте запуск по крону скриптика который будет сбрасивать настройки если что-то пойдет не так
2. проверить установилься ли suhosin patch для ПХП (по дефолту должен быть в убунте)
3. статику винести на поддомен (вместе з загружаемым контентом) где не подключен ПХП
4. также рекомендуют виносить приложение за пределы document root кроме index.php
5. по возможности использовать HTTPS вместо HTTP (проверить установлена ли последняя версия OpenSSL)
6. грамотно фильтровать в приложении все данные от пользователя. не нужно всяких там
1. настроить iptables (белый список портов) - здесь осторожно не забутьте про SSH. сделайте запуск по крону скриптика который будет сбрасивать настройки если что-то пойдет не так
2. проверить установилься ли suhosin patch для ПХП (по дефолту должен быть в убунте)
3. статику винести на поддомен (вместе з загружаемым контентом) где не подключен ПХП
4. также рекомендуют виносить приложение за пределы document root кроме index.php
5. по возможности использовать HTTPS вместо HTTP (проверить установлена ли последняя версия OpenSSL)
6. грамотно фильтровать в приложении все данные от пользователя. не нужно всяких там
используйте например filter_var
7. сессии только вариант с куками и флагом httpOnly.
8. использовать только prepared statement запросы
9. при виводе с базы использовать htmlspecialchars, strip_tags (что умесней). если все же нужно сохранять разметку используйте htmlpurifier
10. если используете связку php=fpm то обьязательно установите опцию
11. виставить правильно директиву open_basedir
http://php.net/manual/ru/ini.cor...ini.open-basedir
12. защищайтесь от CSRF-атак. самое простое решение добавления к форме скритого поля с токеном
13. используйте капчу против ботов
в общем читайте также официальную документацию.
не претендую на полную картину, но то что знаю тем и поделился
http://php.net/manual/ru/security.php