Bir sunucu nasıl güvence altına alınmalıdır? [kapalı]

Ubuntu 10.04'e doğru konuşarak, sunucu sürümü, sunucuyu korumak için hangi araçları / uygulamaları önerirsiniz?

Bu biraz spesifik değil, ancak genel olarak yapmanız gerekecek

• Bağlantı noktalarını açmak için bağlantıyı yönetmek için iptables veya ufw gibi bir güvenlik duvarı çalıştırın .

• Sadece ihtiyaç duyduğunuz yazılımı kurun.

• Yalnızca sunucunun çalışması için gerekli olan hizmetleri çalıştırın.

• Bu yazılımı tüm güvenlik yamalarıyla güncel tutun.

• Görevlerini yerine getirmeleri için gereken en az ayrıcalıkla yeni kullanıcılar oluşturun.

• Run denyhosts veya fail2ban kaba kuvvet saldırılarına kontrol etmek.

• Günlük dosyalarındaki anormalliklerin size e-postayla gönderilmesi için logwatch'ı çalıştırın .

• Şüpheli etkinlikler için günlüklerinizi sık sık kontrol edin.

• Her zaman sudo kullanın ve güçlü şifreler kullanın.

• Apache, exim, proftpd, dovecot vb. İçin zayıf ve orta kuvvette şifreleri SSL’de devre dışı bırakın.

• Yalnızca yerel ana bilgisayarı dinlemek için hizmetleri ayarlayın (uygunsa).

• Günlük chkrootkit çalıştırın .

• Windows virüslerini kontrol etmek için gerektiğinde clamscan'ı çalıştırın (uygunsa).

• Dikkatli olun, sunucunuzu bilin, ne yapması gerektiğini ve ne yapmaması gerektiğini öğrenin.

İşleri yalnızca sürekli kontrol edip güvence altına alarak güvende tutacaksınız. Bir şeyin ne yaptığını veya nasıl veya neden olduğunu veya şüpheli görünen bir şeyi bilmiyorsanız, başkalarından tavsiye isteyin.

Richard Holloway'ın müthiş cevabı. Belirli bir adım adım kılavuz arıyorsanız, Slicehost kütüphanesinden aşağıdaki 2 kısım kılavuzu gözden geçirin.

1. http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-1
2. http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-2

Bir Ubuntu Sunucu örneği kurmam gerektiğinde hemen hemen her yerde kullanıyorum. Bunu seveceğine eminim.

Diğer büyük kaynak, http://library.linode.com/ adresindeki Linode Kütüphanesidir.

Her iki yerde de makaleleri inceleyin. Orada birçok bilgi var ve sunucunuzu iyi idare edebilmek için yeterli bilgiye sahip olacaksınız.

Not: Hiçbir şekilde, bir kütüphane, büyük bir sistem yöneticisinin sezgisi, içgörü ve karar verme yeteneklerinin yerine geçemez.

Bahsetmediğim bir şey "64bit kullan" dır. Bu, diğer şeylerin yanı sıra NX bellek korumalarına sahip olmanızı sağlar.

Tavsiye etme eğiliminde olduğum üç şey:

• Tüm küresel olarak yazılabilir alanları (/ tmp, / var / tmp) 'noexec' olarak monte edin: Bu, sisteminizi yükseltmeyi seçmediğiniz sürece (yazıdan itibaren), tuhaf şeyler olmadan güvenlidir. Daha fazla ayrıntı için Launchpad'deki # 572723 numaralı hataya bakınız.

• Kesinlikle gerekli olmadıkça derleyiciler veya montajcılar kurmayın: Bunun kendi kendini açıklayıcı olduğunu düşünüyorum.

• AppArmor'a Başlayın: AppArmor, SELinux'a bir alternatif olarak görülebilir ve Ubuntu'nun, ihtiyaç duyduğundan daha fazla erişime sahip olmadıklarından emin olmak için çalışan uygulamaları sandbox'a mükemmel bir özelliğidir. İlgileniyorsanız forumlardaki rehberi gözden geçirmenizi tavsiye ederim. http://ubuntuforums.org/showthread.php?t=1008906

• Iptables'ı ortamınız için uygun bir kural ile kurun ve yapılandırın . Hem gelen hem de giden trafiği filtrelemek.
• sisteminize karşı herhangi bir port taraması algılamak ve uyarmak için psad .
• SSH'ye karşı kaba kuvvet giriş girişimlerini önlemek için fail2ban kullanın .
• Kök hesabını kullanarak uzaktan erişime izin vermeyin, çünkü bu, diğer şeylerin yanı sıra, bir saldırgan sunucunuza zorla erişmeye çalışacaksa, hem kullanıcı adı hem de parola üzerinde çalışmak zorunda oldukları anlamına gelir.
• Tüm kullanıcı hesapları için güçlü şifreler kullanın.
• SSH erişimini, mümkünse yalnızca belirli IP adreslerinden erişilebilir olacak şekilde sınırlayın.
• Başka bir Host-tabanlı saldırı tespit sisteminin Tripwire kullanın.
• Sunucuyu nagios gibi bir ağ izleme programı ile izleyin.

Yerinde olsam, iptables (standart Linux güvenlik duvarı) içine bakar ve hangi servislerin çalıştığını görürdüm. Temel olarak, sadece ihtiyacınız olan hizmetleri çalıştırmak, yani sadece bir e-posta sunucusu kurmak istediğinizde bir web sunucusunu çalıştırmamak ve yalnızca gerçekten gereksinim duyduğunuz bağlantı noktalarını açmak istiyorsunuz. Geri kalan her şey kilitlenmeli!

Iptables için rehber: https://help.ubuntu.com/community/IptablesHowTo

Bu yardımcı olur umarım!

ps Daha fazla yardıma ihtiyacınız olursa, irc ile temasa geçin ve freenode üzerindeki # ubuntu-server kanalını tıklayın.

Güvenlik duvarları için @ Firestarter'a bir göz atabilir veya gufw ile ufw'a sahip olabilirsiniz .