ฉันจะรักษาความปลอดภัยการติดตั้ง VPS ได้อย่างไร?

ขั้นตอนพื้นฐานในการรักษาความปลอดภัยการติดตั้ง VPS ที่ฉันวางแผนจะติดตั้ง Webmin บนเพื่อโฮสต์บล็อกและโครงการส่วนบุคคลของฉันคืออะไร

คำตอบของ danlefree สำหรับคำถามที่คล้ายกันนี้ค่อนข้างเกี่ยวข้องกันที่นี่: VPS ที่ไม่มีการจัดการยากเพียงใด

การรักษาความปลอดภัยเซิร์ฟเวอร์นั้นเป็นมากกว่าแค่งานเดียว

ภารกิจที่ใช้ครั้งเดียวครั้งแรกรวมถึง:

• การแข็งตัว SSHd (มีจำนวนเคล็ดลับและแบบฝึกหัดออกมาสำหรับสิ่งนี้นี่เป็นสิ่งที่ดูดีครั้งแรกที่เกิดขึ้นจากการค้นหา
• ตรวจสอบให้แน่ใจว่าได้ปิดบริการที่ไม่จำเป็น (หรือดีกว่าถอนการติดตั้ง)
• ตรวจสอบให้แน่ใจว่าไม่มีบริการที่ไม่จำเป็นต้องเปิดเผยต่อสาธารณะ ตัวอย่างเช่นกำหนดค่าเซิร์ฟเวอร์ฐานข้อมูลของคุณให้รับฟังเฉพาะการเชื่อมต่อภายในเครื่องและ / หรือเพิ่มกฎไฟร์วอลล์เพื่อป้องกันการพยายามเชื่อมต่อภายนอก
• ตรวจสอบให้แน่ใจว่าผู้ใช้เว็บเซิร์ฟเวอร์ของคุณประมวลผล (และบริการอื่น ๆ ) ที่ทำงานอยู่ตลอดเวลาเนื่องจากไม่มีการเข้าถึงไฟล์ / ไดเร็กตอรี่ที่อ่านไม่เกี่ยวข้องกับพวกเขาและไม่ต้องเขียนสิ่งใดนอกจากว่าพวกเขาต้องการการเข้าถึงไฟล์ (เพื่อรับภาพที่อัปโหลดเป็นต้น)
• ตั้งค่าชุดคำสั่งการสำรองข้อมูลอัตโนมัติที่ดีเพื่อให้การสำรองข้อมูลออนไลน์ (โดยเฉพาะบนเซิร์ฟเวอร์อื่นหรือที่บ้าน) ดังนั้นเนื้อหาของคุณจะถูกคัดลอกที่อื่นเพื่อให้คุณสามารถกู้คืนได้ในกรณีที่เลวร้ายที่สุดเกิดขึ้นกับเซิร์ฟเวอร์
• เรียนรู้เกี่ยวกับเครื่องมือทั้งหมดที่คุณติดตั้งบนเซิร์ฟเวอร์ของคุณ (อ่านเอกสารประกอบอาจจะติดตั้งในสภาพแวดล้อมการทดสอบพูด Local VM ภายใต้ virtualbox เพื่อลองใช้การกำหนดค่าที่แตกต่างกันและแบ่ง + แก้ไข) เพื่อให้คุณมีโอกาส เพื่อแก้ไขปัญหาหากเกิดขึ้น (หรืออย่างน้อยวินิจฉัยปัญหาดังกล่าวอย่างถูกต้องเพื่อให้คุณสามารถช่วยคนอื่นแก้ไขปัญหา) คุณจะขอบคุณตัวเองสำหรับเวลาที่ใช้ไปกับสิ่งเหล่านี้ในอนาคต

งานต่อเนื่องรวมถึง:

• ทำให้แน่ใจว่าการปรับปรุงความปลอดภัยสำหรับระบบปฏิบัติการพื้นฐานของคุณถูกนำไปใช้ในเวลาที่เหมาะสม สามารถใช้เครื่องมือเช่นapticronเพื่อแจ้งให้คุณทราบถึงการปรับปรุงที่จำเป็นต้องใช้ ฉันจะหลีกเลี่ยงการตั้งค่าที่ใช้การอัปเดตโดยอัตโนมัติ - คุณต้องการตรวจสอบสิ่งที่กำลังจะเปลี่ยนแปลงก่อนที่คุณจะรัน (ในกรณีของเดเบียน / อูบุนตู) aptitude safe-upgradeดังนั้นคุณจึงรู้ว่าจะต้องทำอะไรกับเซิร์ฟเวอร์ของคุณ
• ตรวจสอบให้แน่ใจว่าอัปเดตไลบรารี / แอพ / สคริปต์ใด ๆ ที่คุณติดตั้งด้วยตนเอง (เช่นไม่ได้มาจากที่เก็บมาตรฐานการกระจายของคุณโดยใช้การจัดการแพคเกจในตัว) ได้รับการติดตั้งในเวลาที่เหมาะสมเช่นกัน libs / apps / สคริปต์ดังกล่าวอาจมีรายชื่ออีเมลของตนเองเพื่อประกาศการอัพเดทหรือคุณอาจต้องตรวจสอบเว็บไซต์เป็นประจำเพื่อแจ้งให้คุณทราบ
• การแจ้งให้ทราบเกี่ยวกับปัญหาด้านความปลอดภัยที่ต้องได้รับการแก้ไขโดยการเปลี่ยนแปลงการกำหนดค่ามากกว่าแพ็คเกจที่ได้รับการแก้ไขหรือจำเป็นต้องแก้ไขจนกว่าจะมีการสร้างแพคเกจที่ได้รับการทดสอบ + ทดสอบ + เผยแพร่แล้ว สมัครสมาชิกรายการจดหมายที่เกี่ยวข้องกับความปลอดภัยที่ดำเนินการโดยผู้ที่ดูแลการแจกจ่ายของคุณและคอยดูเว็บไซต์เทคโนโลยีที่อาจรายงานปัญหาดังกล่าว
• การจัดการการสำรองข้อมูลออฟไลน์บางรูปแบบสำหรับความหวาดระแวงเพิ่มเติม หากคุณสำรองข้อมูลเซิร์ฟเวอร์ของคุณไปยังเครื่องที่บ้านให้เขียนสำเนาไปยังแผ่นซีดี / ดีวีดี / USB-stick เป็นประจำ
• ทดสอบการสำรองข้อมูลของคุณเป็นครั้งคราวเพื่อให้คุณรู้ว่ากำลังทำงานอย่างถูกต้อง การสำรองข้อมูลที่ยังไม่ทดลองนั้นไม่ใช่การสำรองข้อมูลที่ดี คุณไม่ต้องการให้เซิร์ฟเวอร์ของคุณตายจากนั้นพบว่าข้อมูลของคุณไม่ได้รับการสำรองอย่างเหมาะสมเป็นเวลาหลายเดือน

ลินุกซ์ distros ที่ดีทั้งหมดติดตั้งในสถานะที่ปลอดภัยพอสมควร (อย่างน้อยหลังจากชุดอัพเดทแรกเมื่อคุณดึงแพตช์รักษาความปลอดภัยที่วางจำหน่ายตั้งแต่ซีดี / อิมเมจการติดตั้งถูกกด / เปิด) งานไม่ใช่เรื่องยาก แต่จะใช้เวลานานกว่าจะทำดีกว่าที่คุณคาดหวัง

สิ่งที่ยอดเยี่ยมเกี่ยวกับ linux VPS ก็คือพวกเขาค่อนข้างปลอดภัยนอกกรอบ คำแนะนำแรกของฉันแม้ว่ามันจะพูดคุยกับโฮสต์ของคุณและดูว่าพวกเขาจะทำให้แข็งหรือเพิ่มประสิทธิภาพการรักษาความปลอดภัยสำหรับคุณ VPS ส่วนใหญ่ที่มีแผงควบคุม (webmin, cpanel และอื่น ๆ ) เป็น "จัดการ" และพวกเขาจะทำอะไรมากมายให้คุณ โดยเฉพาะอย่างยิ่งถ้าคุณไม่แน่ใจว่าสิ่งที่คุณกำลังทำอยู่นี้เป็นตัวเลือกที่ดีที่สุดในความคิดของฉัน

หากคุณเป็นของตัวเองอันดับแรกให้ดูที่ไฟร์วอลล์เช่น APF (ไฟร์วอลล์นโยบายขั้นสูง?) หรือ CSF (ไฟร์วอลล์ ConfigServer) CSF มีตัวเลือกในการตรวจจับความล้มเหลวในการเข้าสู่ระบบและถ้าคุณพยายามที่จะเข้าสู่ระบบและล้มเหลวหลายครั้งเกินไปมันห้ามแบนที่อยู่ IP ของคุณ ฉันไม่แน่ใจว่าสิ่งเหล่านี้ "จำเป็น" เนื่องจาก linux ไม่ตอบสนองต่อพอร์ตมันไม่ได้ฟังการรับส่งข้อมูล แต่พวกเขาก็ให้ความสนใจ และถ้าคุณมีพอร์ตเปิดมากมายสำหรับการรับส่งข้อมูลที่หลากหลายคุณอาจต้องการไฟร์วอลล์

อาจมีความสำคัญมากกว่านั้นคือให้แน่ใจว่าแอพพลิเคชั่นที่คุณติดตั้งนั้นทันสมัย ไซต์จำนวนมากถูกแฮ็คผ่านการใช้ประโยชน์จาก Wordpress (ตัวอย่าง) มากกว่าการใช้ประโยชน์จากการโจมตีในเซิร์ฟเวอร์ OS หากคุณเป็นสคริปต์การเข้ารหัสที่กำหนดเองตรวจสอบให้แน่ใจว่าคุณจับตาดูความปลอดภัยเป็นอย่างดีเนื่องจากคุณไม่ต้องการออกจากประตูที่เปิดไปโดยไม่ตั้งใจผ่านสิ่งที่โง่เหมือนแบบฟอร์มการติดต่อของคุณ

การรักษาความปลอดภัยเครื่องใด ๆ รวมถึง VPS ไม่ใช่สูตรที่แน่นอน แต่คุณสามารถเริ่มต้นด้วยบทเรียนของผู้ให้บริการ VPS หลัก 2 ราย ได้แก่Linode LibraryและSlicehost Articles

• ลบบริการที่ไม่ต้องการ ( netstatคือเพื่อนของคุณ)

• ปิดใช้งานการโฆษณาบริการ (การเปิดเผยหมายเลขรุ่นของคุณนั้นยอดเยี่ยมสำหรับScriptkiddies )

• เปลี่ยนหมายเลขพอร์ตของผู้ดูแลระบบ (ไม่ใช่สาธารณะ) เป็นสิ่งที่ไม่ชัดเจน (SSH บน 22 จะถูกสแกนอย่างต่อเนื่อง)

• ทำงานโควต้าและข้อ จำกัด ของคุณ: cgroups , limit.conf , qosและอื่น ๆ และตรวจสอบพวกเขาอย่างแข็งขันหากรหัสนักพัฒนาเว็บหรือการโจมตี DDoS เคาะลงเว็บไซต์ของคุณและทำให้กล่องของคุณไม่สามารถเข้าถึงได้มันจะสายเกินไปที่จะแก้ไข

• distros บางตัวมีโปรไฟล์SELinux / AppArmor / etc สำหรับแอปที่ใช้เครือข่ายใช้พวกเขา

สามคนแรกสามารถดำเนินการผ่าน WebMin (ในแบบ) คุณอาจต้องการค้นหา ServerFaultในกรณีนี้

ฉันเห็นว่าคุณพูดถึง webmin ดังนั้นจะเป็นกล่อง Linux โปรดตรวจสอบเอกสารของ Linux distro ที่คุณจะติดตั้งบนเซิร์ฟเวอร์นั้น

สำหรับ CentOS ดูhttp://wiki.centos.org/HowTos/OS_Protectionนี้

แค่บางจุด - เปลี่ยนพอร์ต SSH ของคุณ - ปิดการใช้งานรายการไดเรกทอรีของไฟล์ - ลบลายเซ็นเซิร์ฟเวอร์โทเค็น - ติดตั้งไฟร์วอลล์

มีอีกหลายสิ่ง .. ฉันเพิ่งบอกสิ่งที่มาหาฉันตอนนี้ ..