Рекомендации по обеспечению безопасности облачного сервера? (Linux)
Я могу взять базовый дистрибутив Linux (стабильный Ubuntu Server) и установить все, что мне нужно для запуска и запуска моих веб-приложений. (Django, Rails, PHP и т. Д.) Но после всего этого я буду признателен за некоторые советы по безопасности.
Вот мой текущий контрольный список: 1. Измените пароль root, назначенный мне 2. Добавьте пользователя с правами администратора, чтобы мне не приходилось входить в систему как root 3. Измените порт ssh на что-то случайное, которое я создаю и требую ключ SSH 4. Установите IPTables блокирует почти все, кроме (80, мой порт ssh и, возможно, несколько других в зависимости от
по требованиям)
Что теперь? Как мне поддерживать сервер в актуальном состоянии? Я действительно не хочу ежедневно читать список рассылки ubuntu-security-announce, я просто хочу создавать веб-приложения.
1 ответ
Убедитесь, что вы настраиваете IPTables так, чтобы они также ограничивали ssh и все остальное, что не должно быть общедоступным для локальной подсети или конкретных рабочих станций. Вы также можете ограничить исходящий трафик, если вы работаете с несколькими серверами, чтобы ограничить убытки в случае компрометации. apt-get update для выполнения базовых обновлений, установки из источника вам нужно сделать самостоятельно. Для установок из исходных файлов файл README обычно говорит вам, что вам нужно знать, и часто есть матрицы миграции или руководства по обновлению. Во всяком случае, процедура почти всегда просто переустанавливается из источника (./configure [options], make, make install)
Вы также можете сделать ограничение скорости с iptables, чтобы облегчить брутфорсинг и базовый DOS (отказ в обслуживании). Вы, вероятно, хотите убедиться, что вы DROP(ing) пакеты вместо REJECT(ing) их в ваших iptables. Отклонить отправляет ответ отправителю обратно, что они были.... хорошо Отклонено. Drop просто действует так, как будто он никогда не получил пакет.
http://www.cyberciti.biz/faq/how-do-i-update-ubuntu-linux-softwares/
Пример ограничения скорости можно найти здесь:
Как долго длится заблокированное соединение с Iptables? Есть ли способ установить время ожидания?
Я очень рекомендую прочесть некоторые другие статьи на сайте выше.Vivek Gite весьма искусно разбирается в основных моментах и много рассказывает о безопасности.
Добавление пользователя с правами администратора, чтобы вам вообще не приходилось входить в систему, так как root - это минимальный выигрыш в безопасности - делать что-либо от имени root хорошо, если вы принимаете риск увеличения собственных ошибок, то есть случайного удаления / загрузки. Более важным является отключение root-входа через SSH (в /etc/ssh/sshd_config), так что вы можете получить root только su или разрешить только физическому доступу \ определенным пользователям возможность переключения на root.
Я хочу подчеркнуть, что администратор по-прежнему хорош в качестве ступеньки к root (то есть ssh в качестве администратора, а затем переключиться на root), просто то, что создание пользователя-администратора, чтобы вам не нужно входить в систему root, немного напрасно в контексте безопасности.
Вы также можете заглянуть в брандмауэр приложения. Брандмауэры приложений защищают от различных атак более высокого уровня, чем, например, IPTables, который работает с пакетами. Если вы используете Apache в качестве веб-сервера, Mod_Security2 (автор Ivan Ristic) - хороший выбор.
Если вы хотите еще больше ловушек \ защит, вы можете обратиться к системам обнаружения вторжений, популярным является Snort.
Убедитесь, что у вас есть антивирус. Хороший бесплатный - Clam AV.
Если вышеупомянутое выше, чем вы думаете, вам нужно для вашей среды на минимальном уровне:
- Установить антивирус
- Выключите SSH для Root.
- Ограничьте SSH и другие службы на открытых портах, чтобы принимать соединения только из вашей подсети в iptables.
После этого возникают неясные подробности, на которые следует обратить внимание, чтобы убедиться, что права доступа к файлам и папкам не слишком свободны, плохо написанные программы не работают от имени пользователя root и т. Д.