Не светим наружу

Не забываем закрыть доступ к критическим сервисам снаружи.

MySQL обычно по умолчанию наружу не светит.

Memcached как раз по умолчанию открыта, и напрасно, там может быть вполне полезная для злоумышленника информация. По мне, так чем порт закрывать, лучше общаться через unix-socket. Тем более, что 'memcached -h' сообщает нам, что параметр '-s /путь_к_сокету' «disables network support».

Так же стоит поступить и с php-fpm. Не вижу ни одной причины, чтобы fastcgi_pass слушал сеть, а не файл.

Наконец, MongoDB. Тут, к сожалению, до версии 2.6 с умолчанием плохо.  В самом простом варианте надо использовать 'net.bindIp: 127.0.0.1'.

В общем, помним, что сканеры не дремлют и рыщут, а за ними идут армии ботов…

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *