¿Cómo puedo securizar (hardening) más, mis servicios externos (Apache SSL, FTP...)??

Buenas chicos

No se si esto va en esta sección porque no encuentro exactamente... Bueno si no me lo cambien los moderadores si tienen a bien :)

Bueno, os explico un poco para que podamos ser más precisos en las ayudas.

Estoy montando una Pyme que colgaré en un VPS. Antes de tal cosa, estoy en una máquina virtual haciendo los preparativos y manuales para instalar todos mis servicios "de carrerilla" en el Cloud VPS

El sistema elegido es un Ubuntu Server 11.10 con XFCE4 (de forma alternativa por si necesito ayuda gráfica)

En este servidor pretendo instalar la infrastructura de mi Pyme, y, aunque los Cloud VPS tengan seguridad, "mi máquina es mi máquina" y yo tendré que aplicarle la seguridad pertinente es de suponer. Mis servicios serán:

- Servidor Web
- Servidor SMTP
- Servidor SSH
- Servidor FTP
- Gestión vía Webmin remota

Para el servidor SSH a parte de su seguridad supongo que no se necesita gran cosa con cambiar el puerto y demás... Para SMTP lo mismo, cambiando el puerto y Webmin trae su propia seguridad SSL + contraseña del Root o el usuario dedicado a ello y por último con el server FTPD podré usar SSH si no recuerdo mal, así que quedará securizado también.

Para el servidor Web, estoy mirando algunas alternativas pero es el campo que menos domino, así que he pensado en lo siguiente:

- Crear certificados de servidor
- Dotar a Apache2 de seguridad SSL
- Crear un virtualhost SSL (o más bien configurarlo)
- Redireccionar el puerto 80 hacia el 443 para forzar el uso de SSL

Para este fin, encontré este manual que es bastante completo: http://ardentice.wordpress.com/2007/...ado-en-apache/

¿Que opináis sobre dicho manual? A parte, este no trae como puedo forzar el uso de SSL con la redirección del puerto 80... ¿Es esta una buena medida de seguridad?

Usaré en mi servidor dos CMS: Wordpress con un Theme empresarial y Moodle para mi plataforma de enseñanza e-learning. ¿No tendré problemas supongo, para poder ejecutarlo bajo SSL?

A parte de estas medidas, ¿que más medidas puedo tomar con respecto a Apache2, MySQL y PHP5? ¿Sería bueno crear usuarios independientes por ejemplo para gestionar Apache, para gestionar Webmin, para gestionar Moodle...?

Saludos

Como consejo te podria decir que para ser mas seguro podrias usar el fail2ban como detector de intentos por fuerza bruta y para aumentar mas su seguridad el arnosfirewall que es un corta fuegos que los dos juntitos son una maravilla para la seguridad de los servidores.

Lo unico que no me a acabado de convencer es el echo de no poder decir si por ejemplo fallas 5 veces en ssh que te eche por 10h pero en cambio si fallas en el correo que sean 30 minutos el tiempo que el usuario que no a cumplido con las reglas es el mismo para todos los servicios protegidos.

Te recomiendo que cifres con LUKS el disco, para evitar robo de datos. Tiene buena pinta lo que pretendes hacer.

en lugar de Servidor FTP puedes usar sftp

Pero creo que el 50 % es el cortafuegos, reglas drop por defecto y luego habilitar lo que se puede.

No se poruqé no me aparecía este hilo... Y eso que lo creé yo :)

Estoy viendo opciones que me contáis

En principio sobre la conexión de FTP, voy a usar SFTP, pero vaya usando SSH con el protocolo de transferencia de archivo. Vamos, usando la configuración de SSH con un grupo cerrado de usuarios locales solo con acceso cerrado para usar SFTP

Para lo demás pues me comentan por ahí que no es muy prudente de cara al público o al cliente más bien, "auto-firmar" los certificados del servidor SSL... He mirado a Verysingh y es caro de narices así que no se que hacer con esto.

También me han recomendado el SELinux pero no me convence, no quiero llenar el servidor de procesos y de servicios "imnecesario" porque es un Cloud VPS y es limitado claro. Lo suyo es tener un firewall o un demonio que corte el tráfico prescindible en los puertos, que pare ataques ACK con ICPM o enmascare el servidor etc etc...

Sobre el cifrado, realmente no se que beneficios tendría con respecto al rendimiento o al intentar mover datos