Веб - сервер за роутером насколько безопасно?

[serhy]

Всем привет!
Есть Ubuntu server 12.04 + ISPConfig 3 + WEB-MAIL-FTP-DNS-MySQL + Samba и тд. Настройки безопасности ни какие не делал. С помощью порт форвардинг в инет серверу открыт только 80 порт. На сколько это безопасно если отбросить возможность взлома роутера? Что могут поломать через 80 порт?

[ArcFi]

Что могут поломать через 80 порт?

Что угодно, в зависимости от настроек вебсервера.

если отбросить возможность взлома роутера

Народ почему-то считает роутеры доверенным узлом своей сети.
Это заблуждение.

[serhy]

Веб сервер устанавливал по подобному рукородству http://www.ubuntu.liski.su/?topic=378.msg1585 (коих в нете большинство) в руководстве все компоненты устанавливаются от одного пользователя!!! Таким образом, если Apache и почтовый сервер запущены от одного имени, то удачная атака на Apache приведет к взлому и почтовика или наоборот. И везде десятки довольных комментов и не слова о безопасности. Мне просто интересно, скопипастили они, установили, ну кто то там еще закрылся iptablesом, fail2ban. Видимо хватает им этой защиты?
А вообще наитупейший я вопрос задал, админы удалите плис тему...

[Yuriy_Y]

Веб сервер устанавливал по подобному рукородству http://www.ubuntu.liski.su/?topic=378.msg1585 (коих в нете большинство) в руководстве все компоненты устанавливаются от одного пользователя!!!

Подобное же руководство есть и на этом ресурсе. Пройдись по нему, мож что-то тут немного по-другому сделано. К тому же, никто не запрещает тебе его малость и поправить, если где-то вкралась ошибка.

ну кто то там еще закрылся iptablesом, fail2ban. Видимо хватает им этой защиты?
А вообще наитупейший я вопрос задал, админы удалите плис тему...

Без паники. Вопрос безопасности не может быть наитупейшим. fail2ban работает посредством iptables. Так что установи и настрой его правильно. Конечно, это не 100% гарантия безопасности, но уже примерно 75%. А стопроцентной гарантии дать никто не может, как и в случае предохранения от нежелательной беременности, макс 99%, ну 99.9%. На любую хитрую гайку можно найти свой болт с нужной резьбой. Вопрос в ценности инфы и совокупности времени и средств, затраченных на взлом твоего сервака. Если у тебя там на серваке идет работа с деньгами, его имеет смысл защищать по полной, или секретная инфа, которую могут спереть конкуренты. А если стоит пяток сайтов, взломав которые можно обнаружить и скачать архив porno.tar.gz, который и так лежит в открытом доступе, то нафик он кому нужен. Только недоученным пионэрам, которые находят методы взлома в гугле.

[ArcFi]

В идеале, вебсервер ещё нужно огородить средствами SELinux, как это реализовано в RHEL/Fedora.

[serhy]

В идеале, вебсервер ещё нужно огородить средствами SELinux, как это реализовано в RHEL/Fedora.

Если знаете хорошее руководство желательно не из кусочков, дайте линк

А вообще наитупейший я вопрос задал, админы удалите плис тему...

Почему так написал, просто понял, что ни кто мне не ответит как там за моим роутером, если только телепаты 
Сколько не читал руководств об iptables, не доходит до меня пока. Вот и подумал, пропущу нужные мне сервисы(порты 80, 21, 22, 25(конечно заменил я их) через роутер + защищу их как смогу. Все же лучше будет чем криво настроенный iptables?

Конечно, это не 100% гарантия безопасности

Да это и понятно, сайт Пентагона взламывали, чтож говорить о простых зеленых админах...