Làm cách nào tôi có thể bảo mật cài đặt VPS?


16

Các bước cơ bản để bảo mật cài đặt VPS mà tôi dự định cài đặt Webmin để lưu trữ blog và các dự án cá nhân của tôi là gì?


Nó sẽ giúp nếu bạn cung cấp chi tiết hệ điều hành.
Tim Post

Một bản cài đặt Linux - Nhiều khả năng sẽ là Ubuntu hoặc CentOS.
JFW

Câu trả lời:


13

Câu trả lời của danlefree cho câu hỏi tương tự này khá phù hợp ở đây: VPS khó quản lý như thế nào?

Bảo vệ máy chủ không chỉ là nhiệm vụ một lần.

Nhiệm vụ một lần ban đầu bao gồm:

  • Cố định SSHd (có một số lời khuyên và hướng dẫn về vấn đề này, đây là một trong những cái nhìn tốt đầu tiên xuất hiện từ một tìm kiếm.
  • Đảm bảo các dịch vụ không cần thiết bị tắt (hoặc tốt hơn, được gỡ cài đặt).
  • Hãy chắc chắn rằng các dịch vụ không cần phải công khai là không có. Chẳng hạn, cấu hình máy chủ cơ sở dữ liệu của bạn để chỉ nghe trên các giao diện cục bộ và / hoặc thêm các quy tắc tường lửa để chặn các nỗ lực kết nối bên ngoài.
  • Đảm bảo rằng người dùng đã từng xử lý máy chủ web của bạn (và các dịch vụ khác) đang chạy vì không có quyền truy cập đọc vào các tệp / thư mục không liên quan đến họ và không ghi vào bất cứ điều gì khác trừ khi họ cần quyền truy cập ghi vào các tệp / thư mục đã chọn (để chấp nhận hình ảnh được tải lên chẳng hạn).
  • Thiết lập thói quen sao lưu tự động tốt để giữ các bản sao lưu trực tuyến (tốt nhất là trên máy chủ khác hoặc ở nhà) để nội dung của bạn được sao chép ở nơi khác để bạn có thể khôi phục nó nếu điều tồi tệ nhất xảy ra với máy chủ (hoàn toàn không thể khắc phục được hoặc bị hack)
  • Tìm hiểu về tất cả các công cụ mà bạn đã cài đặt trên máy chủ của mình (đọc tài liệu, có thể cài đặt chúng trên môi trường thử nghiệm, giả sử máy ảo cục bộ trong hộp ảo, để thử các cấu hình khác nhau và phá vỡ + sửa chúng) để bạn có cơ hội có thể để khắc phục sự cố nếu chúng xảy ra (hoặc ít nhất là chẩn đoán chính xác các sự cố đó để bạn có thể giúp người khác khắc phục sự cố). Bạn sẽ cảm ơn bản thân vì đã dành thời gian cho việc này vào một thời điểm nào đó trong tương lai!

Nhiệm vụ đang thực hiện bao gồm:

  • Đảm bảo cập nhật bảo mật cho hệ điều hành cơ sở của bạn được áp dụng kịp thời. Các công cụ như apticron có thể được sử dụng để thông báo cho bạn về các cập nhật cần được áp dụng. Tôi sẽ tránh các thiết lập tự động áp dụng các bản cập nhật - bạn muốn xem lại những gì sắp thay đổi trước khi chạy (trong trường hợp debian / ubfox) aptitude safe-upgrade, vì vậy bạn biết những gì sắp được thực hiện cho máy chủ của mình.
  • Đảm bảo rằng các bản cập nhật cho bất kỳ thư viện / ứng dụng / tập lệnh nào bạn cài đặt thủ công (nghĩa là không phải từ kho lưu trữ tiêu chuẩn phân phối của bạn bằng cách sử dụng quản lý gói tích hợp) cũng được cài đặt kịp thời. Những lib / ứng dụng / tập lệnh như vậy có thể có danh sách gửi thư riêng để thông báo cập nhật hoặc bạn có thể phải theo dõi trang web của họ thường xuyên để thông báo cho mình.
  • Thông báo về các vấn đề bảo mật cần được khắc phục bằng thay đổi cấu hình thay vì các gói vá hoặc cần phải xử lý cho đến khi gói vá được tạo + thử nghiệm + phát hành. Theo dõi bất kỳ danh sách gửi thư liên quan đến bảo mật nào được điều hành bởi những người duy trì phân phối của bạn và để mắt đến các trang web công nghệ cũng có thể báo cáo các vấn đề như vậy.
  • Quản lý một số hình thức sao lưu ngoại tuyến cho hoang tưởng thêm. Nếu bạn sao lưu máy chủ của mình vào máy gia đình, hãy viết một bản sao vào đĩa CD / DVD / USB một cách thường xuyên.
  • Thỉnh thoảng kiểm tra bản sao lưu của bạn, để bạn biết rằng chúng đang hoạt động chính xác. Một bản sao lưu chưa được kiểm tra không phải là một bản sao lưu tốt. Bạn không muốn máy chủ của mình chết và sau đó phát hiện ra rằng dữ liệu của bạn đã không được sao lưu đúng cách trong một vài tháng.

Tất cả các bản phân phối Linux tốt đều cài đặt vào trạng thái bảo mật hợp lý (ít nhất là sau bộ cập nhật đầu tiên khi bạn lấy các bản vá bảo mật đã được phát hành kể từ khi CD / hình ảnh cài đặt được nhấn / phát hành) công việc không khó, nhưng sẽ mất nhiều thời gian hơn để làm tốt hơn bạn mong đợi.


4

Điều tuyệt vời của VPS linux là chúng khá an toàn. Lời khuyên đầu tiên của tôi mặc dù nó là nói chuyện với chủ nhà của bạn và xem liệu họ sẽ làm cứng hoặc tối ưu hóa bảo mật cho bạn. Hầu hết các VPS có bảng điều khiển (webmin, cpanel, v.v.) đều được "quản lý" và chúng sẽ giúp ích rất nhiều cho bạn. Đặc biệt là nếu bạn không chắc chắn những gì bạn đang làm thì đây là sự lựa chọn tốt nhất, theo ý kiến ​​của tôi.

Nếu bạn chỉ có một mình, trước tiên hãy xem một tường lửa như APF (Tường lửa chính sách nâng cao?) Hoặc CSF (Tường lửa cấu hình máy chủ). CSF có tùy chọn phát hiện lỗi đăng nhập và nếu bạn cố đăng nhập và thất bại quá nhiều lần, nó sẽ tự động cấm địa chỉ IP của bạn. Tôi không chắc chắn rằng những điều này là "cần thiết" vì linux không phản hồi trên các cổng mà dù sao nó cũng không lắng nghe lưu lượng truy cập, nhưng chắc chắn chúng mang đến một chút lưu ý. Và nếu bạn có nhiều cổng mở cho nhiều loại lưu lượng khác nhau, thì có thể bạn muốn có tường lửa.

Có lẽ quan trọng hơn, là đảm bảo các ứng dụng bạn cài đặt được cập nhật. Nhiều trang web bị hack thông qua khai thác Wordpress (ví dụ) so với khai thác trên hệ điều hành máy chủ. Nếu bạn là tập lệnh mã hóa tùy chỉnh, hãy đảm bảo bạn luôn chú ý đến bảo mật, vì bạn không muốn vô tình để một cánh cửa mở thông qua thứ gì đó ngớ ngẩn như hình thức liên lạc của bạn.



2
  • Xóa các dịch vụ không mong muốn ( netstat là bạn của bạn)

  • Vô hiệu hóa quảng cáo dịch vụ (tiết lộ số phiên bản của bạn là tuyệt vời cho Scriptkiddies )

  • Thay đổi số cổng hành chính (không công khai) thành thứ gì đó tối nghĩa (SSH ngày 22 sẽ được quét liên tục)

  • Tìm ra hạn ngạch và giới hạn của bạn: cgroups , terms.conf , qos , v.v. - và chủ động theo dõi chúng - nếu mã nhà phát triển web hoặc tấn công DDoS đánh sập trang web của bạn và làm cho hộp của bạn không thể truy cập được

  • Một số bản phân phối có cấu hình SELinux / AppArmor / etc cho các ứng dụng dựa trên mạng, hãy sử dụng chúng

Ba cái đầu tiên có thể được thực hiện thông qua WebMin (theo cách thức). Bạn có thể muốn xem qua ServerFault cho điều này mặc dù.


1

Tôi thấy rằng bạn đề cập đến webmin vì vậy sẽ là một hộp Linux. Vui lòng kiểm tra tài liệu của bản phân phối Linux cụ thể mà bạn sẽ cài đặt trên máy chủ đó.

Đối với CentOS, hãy xem http://wiki.centos.org/HowTos/OS_Protection này


1

Chỉ cần một số điểm. - Thay đổi cổng SSH của bạn. - vô hiệu hóa danh sách các tập tin. - xóa chữ ký máy chủ, mã thông báo. - cài đặt một số tường lửa

còn nhiều điều nữa..tôi chỉ nói những điều đã đến với tôi bây giờ ..

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.