Phải làm gì trước khi kết nối Ubuntu Server với internet lần đầu tiên?

0

Tôi vừa cài đặt xong Ubuntu Server 12.10 trên Asus Eee PC 1000H (sẽ được sử dụng làm máy chủ / hộp cát gia đình) từ USB. Tôi đã cài đặt phần mềm này trong khi cài đặt:

  1. Máy chủ OpenSSH
  2. Máy chủ LAMP
  3. Máy chủ tập tin Samba
  4. Máy chủ ảo

Tôi sẽ không sử dụng 2, 3 hoặc 4 trong một thời gian. Tôi có thể / nên tắt những thứ này không?

  • Tôi đã bật mã hóa thư mục nhà.
  • Cập nhật bảo mật được cài đặt tự động.
  • Tôi đã chọn một mật khẩu mạnh cho người dùng duy nhất.

Tôi chưa bao giờ cắm cáp internet cho đến nay. Trước khi làm như vậy tôi muốn hỏi:

Tôi có thể / nên làm gì / cài đặt để tăng bảo mật trước khi kết nối với internet?

Bức tường lửa? Fail2ban? Người dùng / Mật khẩu? Mã hóa? Kích hoạt / Vô hiệu hóa chức năng? v.v.

Tôi xin lỗi nếu bạn nhận được câu hỏi này rất nhiều. Tôi đã tìm kiếm xung quanh khá lâu, nhưng tôi vẫn cảm thấy có thể bỏ qua điều gì đó quan trọng.

ubuntu  security  internet  ubuntu-12.10 
CodeMonkey
nguồn

Câu trả lời:

2

Nếu bạn đang kết nối máy chủ này với bộ định tuyến mà nhiều thiết bị kết nối để truy cập internet, mạng của bạn có khả năng đã bị chặn tường lửa NAT, vì vậy trừ khi bạn định cấu hình cụ thể bộ định tuyến của mình để cho phép, không ai, kể cả bạn, có thể liên hệ máy chủ của bạn từ bên ngoài nào.

Nếu bạn đang cắm thẳng vào internet, câu chuyện hoàn toàn khác. Tôi muốn giới thiệu như sau:

  1. Tìm hiểu iptables hoặc ufw, cả hai đều là các công cụ cấu hình tường lửa đi kèm với Ubuntu. Nếu bạn đang làm bất cứ điều gì với bất kỳ loại máy chủ Linux nào, thì thực tế đây là những điều bắt buộc. Cả hai đều cho phép bạn rất cụ thể về cách máy chủ của bạn có thể được truy cập và từ đâu. Thông thường tường lửa có mọi thứ được mở theo mặc định và bạn sẽ muốn định cấu hình tường lửa máy chủ của mình để mọi thứ được ĐÓNG theo mặc định và chỉ mở những gì bạn cần.

https://help.ubfox.com/community/UFW

http://www.netfilter.org/projects/iptables/index.html

  1. Đảm bảo biết tất cả các số cổng cho TẤT CẢ các máy chủ bạn sẽ chạy. Dựa trên những gì bạn liệt kê, SSH là cổng 22 theo mặc định, vì vậy chắc chắn đóng nó và fail2ban cũng là một công cụ được đề xuất. Có thể muốn thay đổi cổng mặc định cho SSH từ 22 sang một thứ khác, điều này có thể được thực hiện trong tệp cấu hình SSH. Với ngăn xếp LAMP, bạn có 80 và có thể 443 để xem và MySQL chạy trên 3306 nhưng thông thường MySQL chỉ nghe trên localhost theo mặc định. Samba nghe trên 137-139 và 445.
trpt4him
nguồn
Thật kỳ lạ, điểm của tôi là 1 và 2 khi tôi chỉnh sửa, nhưng chúng hiển thị là 1 và 1.
trpt4him
1

Để trả lời câu hỏi đầu tiên của bạn: như một quy tắc của ngón tay cái - không bao giờ phơi bày nhiều hơn bạn cần. Nếu bạn không sử dụng một dịch vụ cụ thể thì thực sự không có lý do gì để sử dụng chúng.

Máy xúc cát
nguồn
0

Chỉ cần kết nối internet ... Bên cạnh đó, bạn thậm chí không thể có được phần mềm bảo mật mà không có internet. Làm thế nào bạn sẽ tải chúng?

1
Tải chúng xuống một máy tính an toàn, chuyển sang USB, cài đặt trên máy tính không bảo mật trong khi nó vẫn ngoại tuyến. Nếu bạn thực sự hoang tưởng, bạn có thể quét các tệp trên USB và băm mọi thứ.
Joe Taylor
0

Có lẽ phần quan trọng nhất của bất kỳ bảo mật máy tính (trực tuyến) nào là tường lửa. Nếu bạn thực sự hoang tưởng (không phải là không hợp lý trong một số tình huống), hãy tắt tất cả lưu lượng truy cập và chỉ mở các cổng cần thiết.

Bắt đầu ở đây

Яо Р
nguồn
Chà, phần quan trọng nhất của bảo mật là cài đặt các bản cập nhật và cấu hình an toàn các dịch vụ của bạn. Nếu bạn chỉ có các dịch vụ nghe có nghĩa là bị lộ thì tường lửa sẽ không tăng thêm bảo mật.
Holger Chỉ cần
1
Nếu một máy chủ bị xâm nhập thông qua một dịch vụ (không phải siêu người dùng), kẻ tấn công sẽ bị hạn chế nghiêm trọng bởi một tường lửa nghiêm ngặt vì họ sẽ không thể lấy được bất kỳ thông tin nào. Nếu không có tường lửa, mặt khác, dịch vụ bị xâm nhập có thể được sử dụng để bắt đầu nghe các ổ cắm tùy ý hoặc thậm chí gửi thư rác đến các vị trí tùy ý. Tôi nghi ngờ chúng ta sẽ tìm thấy "phần quan trọng nhất" của hệ thống bảo mật thông qua một cuộc thảo luận ở đây vì chúng bao gồm nhiều phần quan trọng. Đây cũng là lý do tại sao tôi nói "Có lẽ là quan trọng nhất". Tôi tin chắc rằng một tường lửa vững chắc sẽ đi một chặng đường dài.
Ярослав Рахматуллин
1
Nếu máy chủ của bạn bị xâm nhập, bạn đã mất. Và kẻ tấn công có thể đẩy mọi thứ qua cùng một kênh mà anh ta đã xâm phạm hộp của bạn ngay từ đầu.
Holger Chỉ
0

Tôi không nghĩ có ai chỉ ra cách "tắt" các dịch vụ / phần mềm không mong muốn ...

  1. Máy chủ LAMP

    dịch vụ apache2 dừng [bắt đầu / khởi động lại]

  2. Máy chủ tập tin Samba

    dịch vụ smbd dừng [bắt đầu / khởi động lại]

  3. Máy chủ ảo: Ừm ... đừng chạy nó!

Ian Atkin
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.