Bảo vệ máy chủ Ubuntu mới [đã đóng]


Câu trả lời:


25

Tôi không thể nghĩ ra bất kỳ tinh chỉnh cụ thể nào của Ubuntu, nhưng đây là một số điều chỉnh áp dụng cho tất cả các bản phân phối:

  1. Gỡ cài đặt tất cả các gói không cần thiết
  2. Sử dụng xác thực chỉ khóa công khai trong SSH
  3. Vô hiệu hóa đăng nhập gốc thông qua SSH (không áp dụng cho Ubuntu)
  4. Sử dụng các cài đặt sản xuất cho PHP (khuyến nghị php.ini)
  5. Cấu hình MySQL để chỉ sử dụng ổ cắm

Tất nhiên danh sách này không đầy đủ, và bạn sẽ không bao giờ hoàn toàn an toàn, nhưng nó bao gồm tất cả các khai thác tôi đã thấy trong cuộc sống thực.

Ngoài ra, các khai thác mà tôi đã thấy hầu như luôn luôn liên quan đến mã người dùng không an toàn, không phải cấu hình không an toàn. Các cấu hình mặc định trong các bản phân phối máy chủ tối thiểu có xu hướng khá an toàn.


1
Thay đổi cổng cho các dịch vụ như MySQL (vô dụng nếu chỉ định cấu hình nó để chỉ sử dụng ổ cắm), FTP (mặc dù, nếu bạn an toàn, bạn không nên sử dụng FTP), SSH và tất cả các loại.
Josh Hunt

3
"Gỡ cài đặt tất cả các gói không cần thiết". ĐƯỢC. Đó là khá mơ hồ. Những gói 'không cần thiết' là gì?
Luke

2
@ Luke: Bất cứ điều gì bạn không sử dụng là không cần thiết. Cụ thể hơn, các dịch vụ đang chạy mà bạn không cần đặt máy gặp rủi ro không cần thiết.
Andrioid

@Luke: cat / etc / services sẽ cung cấp cho bạn một số ý tưởng.
jeshurun

17

Một điều nhanh chóng mà tôi làm sớm là cài đặt Denyhost . Nó sẽ thường xuyên xem qua / var / log / safe, tìm kiếm thông tin đăng nhập thất bại và sau một vài lần thất bại, hãy chặn IP. Tôi đã đặt nó để chặn sau người dùng không có người dùng đầu tiên, trong lần thử thứ hai tại root và sau một vài lần thử cho người dùng thực (trong trường hợp bạn gây rối, nhưng bạn nên sử dụng khóa công khai SSH để đăng nhập).


3
khi bạn liên kết đến trang chủ của sourceforge - denyhosts cũng có sẵn trong kho lưu trữ (vũ trụ) thông qua "sudo aptitude install denyhosts"
Olaf

điểm tốt @olaf. Hầu hết các máy chủ tôi đã cài đặt nó là RHEL, trong đó cũng có trong repo của DAG.
Alister Bulman

+1 Đối với denyhosts
wimvds

2
Denyhosts dường như chỉ phát hiện và chặn các cuộc tấn công vũ phu ssh. Một lựa chọn tốt hơn sẽ là fail2ban (nó cũng có sẵn trong repos), nó giám sát nhiều thứ khác nhau, bao gồm nhật ký apache trong số những thứ khác. Kiểm tra các wiki cộng đồng tại help.ubuntu.com/community/Fail2ban
jeshurun

10

Ubuntu dựa trên Debian và tôi đã thấy Hướng dẫn bảo mật Debian rất hữu ích trong các bản phân phối dựa trên Debian trong việc đưa bạn hoàn toàn qua hệ thống của bạn và kiểm tra từng bộ phận. Về cơ bản, đây là một câu trả lời thực sự, thực sự toàn diện cho câu hỏi của bạn.


Bạn có một liên kết cho điều đó?
Ngọn lửa

1
Xin lỗi, nghĩ rằng các liên kết là trong bài viết. Đó là tại: debian.org/doc/manuals/securing-debian-howto
Mike McQuaid

5

Tôi thường cài đặt RKHunter, quét các rootkit và kiểm tra tính toàn vẹn của các nhị phân hệ thống quan trọng khác nhau. Đó là trong repo tiêu chuẩn, và sẽ chạy hàng ngày từ cron. Nó không hoàn hảo, bảo mật, nhưng nó là một mục nỗ lực thấp để thêm, và nó cung cấp một biện pháp bảo vệ.


4

Cài đặt logcheck, nhưng điều chỉnh để bạn không bao giờ nhận được tin nhắn từ các sự kiện thông thường, nếu không bạn sẽ có thói quen bỏ qua các email.

Kiểm tra xem các quy trình đang lắng nghe bằng netstat và đảm bảo không có gì đang chạy mà không cần chạy. Nhiều trình nền chỉ có thể được cấu hình để nghe trên IP bên trong (hoặc localhost) thay vì tất cả các giao diện.


3

Làm những gì có thể gợi ý ...

Nmap máy chủ và vô hiệu hóa tất cả các dịch vụ không cần thiết. Sử dụng iptables nếu cần thiết.


2
Trên bất kỳ máy chủ nào có thể truy cập qua Internet, iptables luôn luôn cần thiết. ;-)
Christopher Cashell

3

Nếu bạn đang đi bất cứ nơi nào gần Internet với máy chủ, hãy cài đặt một hệ thống phát hiện xâm nhập như khịt mũi.


3

Sử dụng các phân vùng riêng cho các thư mục khác nhau như /tmphoặc /vargắn kết chúng với nosuid, nodevnoexecnếu có thể.


3

Một số gợi ý tường lửa.

Tìm hiểu để sử dụng tường lửa và các khái niệm về việc khóa hộp đúng cách. Thay đổi cổng mặc định phần lớn là một điều vô ích; ứng dụng thích hợp và cấu hình tường lửa là quan trọng hơn nhiều.

Cả hai đều có trong repos Ubuntu:

Lửa

có tài liệu tuyệt vời và rất dễ học cú pháp. Tôi đã có thể thiết lập một cổng / tường lửa trong hai mươi phút. Lý do duy nhất tôi chuyển đi từ đây là nó dường như không được duy trì (bản phát hành cuối cùng 2 năm trước). Không có nghĩa là nó không hoạt động, nhưng ...

Da liễu

là một cái khác Cú pháp giống iptables hơn, nhưng cùng một khái niệm. Nhiều cộng đồng được duy trì hơn FireHOL, nhưng mất nhiều thời gian hơn để nhận.

Bờ biển

là những gì tôi hiện đang sử dụng. Tài liệu của nó rất rộng, và định dạng cấu hình của nó là dạng bảng. Tôi mất khoảng một tiếng rưỡi để hiểu tất cả các tệp cần thiết (6) để chạy cấu hình tường lửa / cổng hoạt động. Nó khá mạnh mẽ. MIPO: Các trang man cho các tệp cấu hình khác nhau thật sự hữu ích!

Tất cả các cấu hình tường lửa tải từ một tập tin cấu hình. Rất hiệu quả, dễ sử dụng hơn iptables ngay lập tức và (theo ý kiến ​​của tôi) dễ sử dụng và quản lý hơn ufw.

Khác:

  • Tôi thứ hai các khuyến nghị cho việc sử dụng khóa SSH.

  • Thiết lập IDS.

  • Tìm hiểu về AppArmor. Nó giới hạn quyền truy cập tệp của các tệp thực thi chỉ vào các thư mục được chỉ định và các tệp mà nó cần. Tương tự như SELinux trong thế giới RHEL. Nó được cài đặt và kích hoạt với 'cấu hình' được cấu hình sẵn cho nhiều chương trình được sử dụng tốt.


2

Cũng như các đề xuất khác ở đây tôi sẽ đề cập đến ba điều hiển nhiên nhưng có lẽ đáng nói đến cho sự hoàn chỉnh:

  1. Nếu bạn không nghĩ rằng bạn cần tường lửa, hãy nghĩ lại. ufw đơn giản nhưng được thiết kế cho Ubuntu và dựa trên iptables
  2. Cập nhật các gói: tối thiểu áp dụng tất cả các bản vá bảo mật
  3. Tài liệu những gì bạn đã làm để bảo mật máy chủ và tại sao. Bao gồm các quá trình cấu hình (tự động) để theo dõi nhật ký, kiểm tra cấu hình và báo cáo cập nhật bảo mật cần thiết.
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.