it-swarm-eu.dev

Jak mohu zabezpečit instalaci VPS?

Jaké jsou základní kroky k zajištění instalace VPS, na kterou mám v úmyslu nainstalovat Webmin, abych hostil své blogy a osobní projekty?

16
JFW

odpověď danlefree na tuto podobnou otázku je zde docela důležitá: Jak obtížné je nespravovaná VPS?

Zabezpečení serveru je víc než jen jednorázový úkol.

Počáteční jednorázové úkoly zahrnují:

  • Hardening SSHd (existuje řada tipů a návodů pro toto, this byl první dobře vypadající ten, který přišel z vyhledávání.
  • Zajistěte, aby byly nepotřebné služby vypnuty (nebo lépe odinstalovány).
  • Ujistěte se, že služby, které nemusí být veřejně dostupné, nejsou. Například nakonfigurujte databázový server tak, aby poslouchal pouze na místních rozhraních nebo přidával pravidla brány firewall, aby blokoval pokusy o externí připojení.
  • Zajistěte, aby všichni uživatelé vašeho webového serveru (a další služby) běželi bez přístupu ke čtení k souborům/adresářům, které pro ně nejsou relevantní, a bez zápisu do jiného obsahu, pokud nepotřebují přístup k zápisu do vybraných souborů/adresářů. (například pro přijímání nahraných obrázků).
  • Nastavte si automatizovanou rutinní zálohu, abyste si mohli online zálohovat (nejlépe na jiném serveru nebo doma), aby se váš obsah zkopíroval jinde, abyste jej mohli obnovit, pokud by se server nejhorší (úplná neopravitelná havárie nebo hacknutí)
  • Dozvíte se o všech nástrojích, které jste nainstalovali na svůj server (přečtěte si dokumentaci, možná je nainstalujte do testovacího prostředí, řekněte místní VM ve virtuálním boxu vyzkoušet různé konfigurace a rozbít + opravit je), takže máte šanci napravit problémy, pokud k nim dojde (nebo alespoň správně diagnostikovat takové problémy, takže můžete pomoci někomu jinému vyřešit problém). Poděkujete za čas strávený na tom v budoucnu!

Mezi probíhající úkoly patří:

  • Zajistěte, aby aktualizace zabezpečení vašeho základního operačního systému byly aplikovány včas. Pomocí nástrojů jako apticron můžete být informováni o aktualizacích, které je třeba použít. Vyhnul bych se nastavením, která automaticky aplikují aktualizace - chcete si před spuštěním zkontrolovat, co se má změnit (v případě debian/ubuntu) aptitude safe-upgrade, takže víte, co se s vaším serverem chystá.
  • Ujistěte se, že aktualizace všech knihoven/aplikací/skriptů, které instalujete ručně (tj. Nikoli ze standardních úložišť distribucí pomocí vestavěné správy balíčků), jsou také nainstalovány včas. Tyto libs/aplikace/skripty mohou mít své vlastní seznamy adres pro oznámení aktualizací, nebo možná budete muset pravidelně sledovat své webové stránky, abyste byli informováni.
  • Poskytování informací o bezpečnostních problémech, které je třeba vyřešit změnami konfigurace namísto opravených balíčků nebo které je třeba vyřešit, dokud není vytvořen opravený balíček + testován + uvolněn. Přihlaste se k odběru všech e-mailových seznamů souvisejících se zabezpečením, které provozují lidé, kteří udržují vaši distribuci, a sledujte technologické weby, které mohou tyto problémy také nahlásit.
  • Správa nějaké formy offline zálohování pro další paranoia. Pokud zálohujete server do domácího počítače, zapisujte pravidelně kopii na disk CD/DVD/USB.
  • Testování záloh občas, takže víte, že fungují správně. Neověřená záloha není dobrá záloha. Nechcete, aby váš server zemřel, a pak zjistíte, že vaše data nebyla několik měsíců řádně zálohována.

Všechna dobrá linuxová distribuce se instalují do přiměřeně bezpečného stavu po vybalení z krabice (alespoň po první sadě aktualizací, když zatáhnete za bezpečnostní záplaty, které byly vydány od stisknutí/uvolnění instalačního CD/obrazu), takže práce není obtížná, ale bude trvat déle, než se dá dobře, než byste čekali.

13
David Spillett

Skvělá věc, o linux VPS je, že jsou docela bezpečné mimo krabici. Mým prvním doporučením však je mluvit s hostitelem a zjistit, zda pro vás zlepší nebo optimalizuje zabezpečení. Většina VPS s ovládacím panelem (webmin, cpanel, atd.) Je „řízena“ a budou pro vás hodně. Zvláště pokud si nejste zcela jisti, co děláte, je podle mého názoru nejlepší volbou.

Pokud jste sami, nejprve se podívejte na firewall jako APF (Advanced Policy Firewall?) Nebo CSF ​​(ConfigServer Firewall). CSF má možnost detekce selhání přihlášení, a pokud se pokusíte přihlásit a selhat jedenkrát tolikrát, automaticky zakáže vaši IP adresu. Nejsem si jistý, že jsou to „nezbytné“, protože linux nereaguje na porty, na které stejně neposlouchá, ale určitě nabízejí určitou část mysli. A pokud máte otevřeno mnoho portů pro různé přenosy, možná ano, chcete firewall.

Pravděpodobně důležitější je zajistit, aby nainstalované aplikace byly aktuální. Další weby se dostanou do hackerství například prostřednictvím Wordpress exploit (například pomocí nějakého exploitování v OS OS). Jste-li vlastní kódovací skripty, ujistěte se, že budete také dohlížet na bezpečnost, protože nechcete nechtěně nechat otevřené dveře skrz něco hloupého, jako je váš kontaktní formulář.

4
elconejito

Zabezpečení jakéhokoli počítače, včetně VPS, není přesným receptem, ale můžete začít s tutoriály dvou hlavních poskytovatelů VPS: Linode Library a Slicehost Articles

3
intlect
  • Odstraňte nežádoucí služby ( netstat je váš přítel)

  • Zakázat reklamu na službu (odhalení čísel verzí je skvělé pro Scriptkiddies )

  • Změňte administrativní (ne veřejná) čísla portů na něco nejasného (SSH na 22 bude pouze neustále skenována)

  • Vypracujte své kvóty a limity: cgroups , limity.conf , qos atd. - a aktivně je sledujte - pokud webový vývojářský kód nebo Útok DDoS srazí váš web a způsobí, že váš box nebude dostupný, bude příliš pozdě na opravu

  • Některá distros mají SELinux / AppArmor /etc profily pro síťové aplikace, používají je

První tři lze provést prostřednictvím WebMin (v módě). Možná však budete chtít podívejte se přes ServerFault .

2
Metalshark

Vidím, že jste zmínil webmin, takže to bude Linux box. Zkontrolujte prosím dokumentaci konkrétního distribučního systému Linux, který na tento server nainstalujete.

Pro CentOS viz toto http://wiki.centos.org/HowTos/OS_Protection

1
Cristi

Jen pár bodů. - Změňte svůj port SSH. - zakázat výpis adresáře souborů. - odstranit podpis serveru, tokeny. - nainstalovat nějaký firewall

existuje spousta dalších věcí ... právě jsem řekl věci, které mi přišly teď ..

1
Vamsi Krishna B