Как я могу защитить установку VPS?


16

Каковы основные шаги по обеспечению безопасности установки VPS, на которой я планирую установить Webmin для размещения своих блогов и личных проектов?


Это помогло бы, если бы вы предоставили детали ОС.
Тим Пост

Установка Linux - Скорее всего, это будет Ubuntu или CentOS.
JFW

Ответы:


13

Ответ danlefree на этот похожий вопрос весьма актуален: насколько сложен неуправляемый VPS?

Защита сервера - это больше, чем разовая задача.

Первоначальные разовые задания включают в себя:

  • Усиление SSHd (для этого есть несколько советов и учебных пособий, это был первый красивый вариант, который появился в результате поиска.
  • Убедитесь, что ненужные службы отключены (или, что лучше, удалены).
  • Убедитесь, что услуги, которые не должны быть общедоступными, не являются. Например, настройте сервер базы данных на прослушивание только локальных интерфейсов и / или добавление правил брандмауэра для блокировки попыток внешнего подключения.
  • Убедиться в том, что все пользователи (и) процессов вашего веб-сервера (и другие службы) запущены, так как не имеют доступа для чтения к не относящимся к ним файлам / каталогам и не имеют права на запись во что-либо еще, если им не нужен доступ на запись к выбранным файлам / каталогам (например, принимать загруженные изображения).
  • Установите хорошую процедуру автоматического резервного копирования, чтобы хранить резервные копии в онлайн-хранилище (желательно на другом сервере или дома), чтобы ваш контент копировался в другое место, чтобы вы могли восстановить его в случае худшего случая с сервером (полное неустранимое аварийное завершение или взлом)
  • Узнайте обо всех инструментах, которые вы установили на своем сервере (прочитайте документацию, возможно, установите их в тестовой среде, скажем, локальную виртуальную машину под virtualbox, опробуйте различные конфигурации и сломайте + исправьте их), чтобы у вас была возможность устранять проблемы, если они возникают (или, по крайней мере, правильно диагностировать такие проблемы, чтобы вы могли помочь кому-то другому решить проблему). Вы будете благодарны за время, потраченное на это в будущем!

Текущие задачи включают в себя:

  • Обеспечение своевременного применения обновлений безопасности для вашей базовой ОС. Такие инструменты, как apticron, могут использоваться для информирования вас об обновлениях, которые необходимо применить. Я бы избегал настроек, которые автоматически применяют обновления - вы хотите проверить, что должно измениться, прежде чем запускать (в случае с Debian / Ubuntu) aptitude safe-upgrade, чтобы вы знали, что будет с вашим сервером.
  • Убедитесь, что обновления любых библиотек / приложений / сценариев, которые вы устанавливаете вручную (т.е. не из стандартных репозиториев ваших дистрибутивов, использующих встроенное управление пакетами), также установлены своевременно. Такие библиотеки / приложения / скрипты могут иметь свои собственные списки рассылки для объявлений об обновлениях, или вам просто нужно регулярно следить за их веб-сайтами, чтобы держать себя в курсе.
  • Информирование о проблемах безопасности, которые должны быть исправлены изменениями конфигурации, а не исправленными пакетами, или которые необходимо обойти до тех пор, пока исправленный пакет не будет создан + протестирован + выпущен. Подпишитесь на любые списки рассылки, связанные с безопасностью, которые ведут люди, которые поддерживают ваш дистрибутив, и следите за технологическими сайтами, которые также могут сообщать о таких проблемах.
  • Управление некоторой формой автономного резервного копирования для дополнительной паранойи. Если вы делаете резервную копию своего сервера на домашнем компьютере, регулярно записывайте копию на CD / DVD / USB-флешку.
  • Периодически проверяйте свои резервные копии, чтобы вы знали, что они работают правильно. Непроверенная резервная копия не является хорошей резервной копией. Вы не хотите, чтобы ваш сервер умер, а затем обнаружил, что ваши данные не были должным образом сохранены в течение нескольких месяцев.

Все хорошие дистрибутивы Linux устанавливаются в достаточно безопасном состоянии из коробки (по крайней мере, после первого набора обновлений при извлечении исправлений безопасности, выпущенных после того, как установочный компакт-диск / образ был нажат / выпущен), поэтому Работа не сложная, но для того, чтобы преуспеть, потребуется больше времени, чем вы могли бы ожидать.


4

Отличительной особенностью Linux VPS является то, что они достаточно безопасны из коробки. Моя первая рекомендация, хотя это поговорить с вашим хостом и посмотреть, укрепят ли они или оптимизируют безопасность для вас. Большинство VPS с панелью управления (webmin, cpanel и т. Д.) Являются «управляемыми», и они многое сделают для вас. Особенно, если вы не совсем уверены, что вы делаете, это лучший выбор, на мой взгляд.

Если вы самостоятельно, сначала посмотрите на брандмауэр, такой как APF (Advanced Policy Firewall?) Или CSF (ConfigServer Firewall). CSF имеет возможность обнаружения сбоев при входе в систему, и если вы попытаетесь войти в систему и сделать это слишком много раз, он автоматически забанит ваш IP-адрес. Я не уверен, что это «необходимо», так как linux не отвечает на порты, в любом случае не прослушивает трафик, но они, безусловно, предлагают некоторую часть разума. И если у вас много открытых портов для различного трафика, тогда, возможно, вам нужен брандмауэр.

Возможно, еще важнее убедиться, что установленные вами приложения обновлены. Например, с помощью эксплойта Wordpress взломано больше сайтов, чем с помощью эксплойта в серверной ОС. Если вы используете пользовательские сценарии кодирования, убедитесь, что вы также следите за безопасностью, так как не хотите, чтобы случайно оставить открытую дверь через что-то глупое, как ваша контактная форма.


3

Обеспечение безопасности любого компьютера, включая VPS, не является точным рецептом, но вы можете начать с уроков двух основных поставщиков VPS: Linode Library и Slicehost Articles


2
  • Удалите ненужные сервисы ( netstat - ваш друг)

  • Отключить рекламу сервиса (раскрытие номеров ваших версий отлично подходит для Scriptkiddies )

  • Измените административные (не публичные) номера портов на что-то непонятное (SSH на 22 будет постоянно проверяться)

  • Отработать ваши квоты и лимиты: контрольных групп , limits.conf , QoS и т.д. - и активно следить за ними - если код веб - разработчиков или через DDoS атаки стуки вниз ваш сайт и делает ваш ящик недостижимым это будет слишком поздно , чтобы исправить

  • Некоторые дистрибутивы имеют профили SELinux / AppArmor / etc для сетевых приложений, используйте их

Первые три могут быть выполнены через WebMin (в моде). Вы можете посмотреть через ServerFault для этого, хотя.


1

Я вижу, что вы упомянули webmin, поэтому будет Linux box. Пожалуйста, ознакомьтесь с документацией конкретного дистрибутива Linux, который вы установите на этом сервере.

Для CentOS см. Это http://wiki.centos.org/HowTos/OS_Protection


1

Просто некоторые моменты. - Измените свой порт SSH. - отключить список каталогов файлов. удалить подпись сервера, токены. - установить брандмауэр

Есть еще много вещей .. Я просто рассказал то, что пришло ко мне сейчас ..

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.