1
Server / Bezpečnost veřejného webového serveru
« kdy: 11. 02. 2023, 16:10:47 »
Dobry den,
zacal jsem s provozem sveho prvniho (verejneho) weboveho serveru a mam k tomu otazku ohledne bezpecnosti.
Server je schovany na interni siti za bastion hostem, ktery je radne zabezpecen a port forwarduje 80 na webserver. Na web hostu bezi server na custom portu pod beznym userem.
Bastion zarucuje, ze na sit nedojde nic jineho nez http traffic. Ale zaujalo me, ze i po http se prakticky ihned po spusteni serveru zacaly vest utoky na tento http server. Vesmes jsou to brute force utoky PUSHem. Polozil jsem si proto otazku, zda verim implementaci serveru, ze odola vsemu, co se po http da vest (nejsem zbehly v bezpecnosti/hackingu). Taky mi vadi, ze to server zatezuje.
Rad bych se proto zeptal, jake jsou pristupy k bezpecnosti http serveru a jak to resit.
Resil bych to asi proxy serverem pred tim webovym (traefik), ktery bude poustet pouze GETy. Je toto doporucena cesta? Co dalsiho muze proxy pro bezpecnost udelat?
Pro ssh na servisnim jump hostu mam nastaveny fail2ban. Da se udelat a doporucuje se to stejne pro http? Tedy ve stylu IF >= 4 pokusy PUSH => put to jail. Pripadne jina implementace nez pres fail2ban?
Pouziva se v praxi jeste neco dalsiho?
Diky za vsechny postrehy.
zacal jsem s provozem sveho prvniho (verejneho) weboveho serveru a mam k tomu otazku ohledne bezpecnosti.
Server je schovany na interni siti za bastion hostem, ktery je radne zabezpecen a port forwarduje 80 na webserver. Na web hostu bezi server na custom portu pod beznym userem.
Bastion zarucuje, ze na sit nedojde nic jineho nez http traffic. Ale zaujalo me, ze i po http se prakticky ihned po spusteni serveru zacaly vest utoky na tento http server. Vesmes jsou to brute force utoky PUSHem. Polozil jsem si proto otazku, zda verim implementaci serveru, ze odola vsemu, co se po http da vest (nejsem zbehly v bezpecnosti/hackingu). Taky mi vadi, ze to server zatezuje.
Rad bych se proto zeptal, jake jsou pristupy k bezpecnosti http serveru a jak to resit.
Resil bych to asi proxy serverem pred tim webovym (traefik), ktery bude poustet pouze GETy. Je toto doporucena cesta? Co dalsiho muze proxy pro bezpecnost udelat?
Pro ssh na servisnim jump hostu mam nastaveny fail2ban. Da se udelat a doporucuje se to stejne pro http? Tedy ve stylu IF >= 4 pokusy PUSH => put to jail. Pripadne jina implementace nez pres fail2ban?
Pouziva se v praxi jeste neco dalsiho?
Diky za vsechny postrehy.