Chạy một máy chủ trên mạng gia đình / cá nhân của tôi - tôi nên thực hiện các biện pháp phòng ngừa nào về mặt bảo mật?

Tôi đã sử dụng máy chủ đám mây để thực hiện tất cả công việc máy chủ cá nhân của mình - Tôi không có máy tính xách tay linux nên tôi sử dụng nó với ssh để làm tất cả công việc văn phòng, nói chung, lập trình, phát triển trên nó (và sử dụng dropbox để nhận các tập tin hoàn chỉnh vào máy tính xách tay của tôi) cũng như lưu trữ một vài ứng dụng web trên đó thực sự chỉ dành cho sử dụng cá nhân (như ứng dụng web tạp chí trực tuyến, giao diện để chạy tính toán), cũng như máy chủ git.

Tôi đã quyết định xây dựng máy chủ của riêng mình tại nhà với các thành phần mạnh hơn nhiều để bảo trì rẻ hơn nhiều so với máy chủ đám mây của tôi. Tuy nhiên, tôi có một số lo ngại về việc mở cổng 80, cổng 22, v.v. ra thế giới trên mạng cá nhân của mình, nó không chỉ được sử dụng bởi tôi mà còn cho gia đình tôi.

Tôi nên đề phòng điều gì? Tôi có những người cảnh báo tôi về việc mọi người xâm phạm máy chủ của tôi và có thể xâm nhập vào PC của chúng tôi và đánh cắp dữ liệu và nội dung. Tôi đã có fail2ban, nhưng tôi nên thực hiện các biện pháp phòng ngừa nào trước khi mở các cổng ra thế giới như thế này?

cái hộp là một cái Ubuntu

(chỉnh sửa: tôi biết có rất nhiều điều tôi có thể làm để bảo mật máy chủ nói chung :) tôi chỉ đang tự hỏi về các mẹo cụ thể để lưu trữ máy chủ trên mạng gia đình của mình)

Cá nhân, tôi sẽ phân đoạn mạng gia đình của mình để máy chủ được tách biệt với phần còn lại của mạng - theo cách đó nếu máy chủ bị vi phạm, sẽ không dễ dàng tấn công các hệ thống khác của bạn (điều này thật dễ dàng nếu bạn sử dụng thứ gì đó như pfSense - không dễ dàng như vậy nếu bạn chỉ sử dụng bộ định tuyến người tiêu dùng). Có thể là quá mức cần thiết - nhưng tôi bảo mật nghiêm trọng hơn một số người khác.

Có nhiều hướng dẫn thực hành tốt nhất về bảo mật máy chủ mới, vì vậy tôi sẽ không trình bày lại ở đây - nhưng hãy dành thời gian để đảm bảo rằng bạn đã cấu hình đúng. Hãy chắc chắn rằng bạn cài đặt các bản cập nhật thường xuyên, theo dõi nhật ký cho bất kỳ điều gì kỳ lạ. Các công cụ như fail2ban có thể đi một chặng đường dài để ngăn chặn những kẻ tấn công trước khi chúng có thể đạt được quá nhiều tiến bộ - nhưng đó chỉ là một lớp bảo vệ.

Hãy chắc chắn rằng bạn giới hạn các cổng bạn tiếp xúc với những gì bạn cần, và không có gì thêm - bạn càng ít lộ diện, nguy cơ của bạn càng thấp. Nếu bạn mở SSH, hãy đảm bảo rằng bạn không cho phép người dùng root đăng nhập qua SSH và xem xét sử dụng một số hình thức xác thực hai yếu tố .

Nhiều người không nhận ra hầu hết các máy chủ ít làm gì để bảo vệ máy chủ của bạn - lẻ là hệ thống nhà của bạn sẽ an toàn hơn so với những gì bạn đang trả tiền hiện tại.