Bir VPS Kurulumunu Nasıl Güvenceye Alabilirim?


16

Bloglarımı ve kişisel projelerimi barındırmak için Webmin'i yüklemeyi planladığım bir VPS kurulumunun güvenliğini sağlamanın temel adımları nelerdir?


İşletim sistemi ayrıntılarını vermeniz yardımcı olacaktır.
Tim Post

Linux kurulumu - Büyük olasılıkla Ubuntu veya CentOS olacaktır.
JFW

Yanıtlar:


13

danlefree'nin bu benzer soruya vereceği cevap burada oldukça ilgili: Yönetilmeyen bir VPS ne kadar zor?

Bir sunucunun güvenliğini sağlamak tek seferlik bir görevden daha fazlasıdır.

İlk bir defalık görevler şunları içerir:

  • SSHd'yi sertleştirmek (bunun için birkaç ipucu ve öğretici var, bu bir aramadan ortaya çıkan ilk iyi görünümlü idi.
  • Gereksiz hizmetlerin kapalı (veya daha iyi, kaldırılmış) olduğundan emin olun.
  • Herkese açık olması gerekmeyen hizmetlerin bulunmadığından emin olun. Örneğin, veritabanı sunucunuzu yalnızca yerel arabirimleri dinleyecek ve / veya harici bağlantı girişimlerini engellemek için güvenlik duvarı kuralları ekleyecek şekilde yapılandırın.
  • Web sunucusu işlemlerinizin (ve diğer hizmetlerinizin) çalışan kullanıcıların, kendileriyle ilgili olmayan dosyalara / dizinlere okuma erişimine sahip olmadıklarından ve seçilen dosyalara / dizinlere yazma erişimine ihtiyaç duymadıkça başka hiçbir şeye yazmalarına izin vermeyin (örneğin yüklenen resimleri kabul etmek için).
  • Çevrimiçi yedekleri (tercihen başka bir sunucuda veya evde) tutmak için iyi bir otomatik yedekleme rutini oluşturun, böylece içeriğiniz başka bir yere kopyalanır, böylece sunucuya en kötü durumda (kurtarılamayan çökme veya saldırıya uğraması durumunda) kurtarabilirsiniz.
  • Sunucunuza yüklediğiniz tüm araçlar hakkında bilgi edinin (belgeleri okuyun, belki de bir test ortamına yükleyin, farklı yapılandırmalar denemek ve bunları kırmak + düzeltmek için sanal kutu altında yerel bir VM söyleyin) Sorunları ortaya çıkarsa düzeltmek için (veya en azından bu sorunu başkalarına düzgün bir şekilde teşhis ederek başkalarının sorunu çözmesine yardımcı olabilirsiniz). Gelecekte bir noktada buna harcanan zaman için kendinize teşekkür edeceksiniz!

Devam eden görevler şunları içerir:

  • Temel işletim sisteminiz için güvenlik güncellemelerinin zamanında uygulandığından emin olun. Apticron gibi araçlar , uygulanması gereken güncellemeler hakkında sizi bilgilendirmek için kullanılabilir. Güncelleştirmeleri otomatik olarak uygulayan kurulumlardan kaçınırım - çalıştırmadan önce (debian / ubuntu durumunda) neyin değişeceğini gözden geçirmek istersiniz aptitude safe-upgrade, böylece sunucunuza ne yapılması gerektiğini bilirsiniz.
  • Manuel olarak yüklediğiniz kitaplık / uygulama / komut dosyalarındaki güncellemelerin (yerleşik paket yönetimini kullanan dağıtım standart havuzlarınızdan değil) de zamanında yüklendiğinden emin olun. Bu tür kütüphanelerin / uygulamaların / komut dosyalarının güncellemeleri duyurmak için kendi posta listeleri olabilir veya kendinizi bilgilendirmek için web sitelerini düzenli olarak izlemeniz gerekebilir.
  • Yamalı paketler yerine konfigürasyon değişiklikleriyle düzeltilmesi gereken veya yamalanmış bir paket yaratılana + test edilene kadar serbest bırakılması gereken güvenlik sorunları hakkında bilgi sahibi olmak. Dağıtımınızı sürdüren kişilerin yönettiği güvenlikle ilgili posta listelerine abone olun ve bu tür sorunları bildirebilecek teknoloji sitelerine göz atın.
  • Ekstra paranoya için bir tür çevrimdışı yedekleme yönetimi. Sunucunuzu bir ev makinesine yedekliyorsanız, düzenli olarak CD / DVD / USB çubuğa bir kopya yazın.
  • Yedeklemelerinizi zaman zaman test ederek doğru çalıştıklarını bilirsiniz. Test edilmemiş bir yedekleme iyi bir yedekleme değildir. Sunucunuzun ölmesini ve ardından verilerinizin birkaç aydır düzgün bir şekilde yedeklenmediğini öğrenmek istemezsiniz.

Tüm iyi Linux dağıtımları, kutudan çıkar çıkmaz güvenli bir duruma geçer (en azından kurulum CD'sine / görüntüsüne basıldıktan / serbest bırakıldığından beri yayımlanan güvenlik yamalarını çektiğinizde ilk güncellemeler kümesinden sonra) iş zor değil, ama iyi yapmak beklediğinizden daha fazla zaman alacaktır.


4

Linux VPS ile ilgili en iyi şey, kutudan çıktığı gibi oldukça güvenli olmasıdır. İlk tavsiyem, sunucunuzla konuşmak ve güvenliği sizin için sertleştirip optimize etmeyeceklerini görmek. Kontrol panelli çoğu VPS (webmin, cpanel, vb.) "Yönetilir" ve sizin için çok şey yaparlar. Özellikle ne yaptığınızdan emin değilseniz, bence bu en iyi seçimdir.

Kendi başınıza iseniz, önce APF (Gelişmiş Politika Güvenlik Duvarı?) Veya CSF (ConfigServer Güvenlik Duvarı) gibi bir güvenlik duvarına bakın. CSF'de bir oturum açma hatası algılama seçeneği vardır ve oturum açmaya ve bir kereden fazla başarısız olmaya çalışırsanız IP adresinizi otomatik olarak yasaklar. Bunların "gerekli" olduğundan emin değilim çünkü linux zaten trafik için dinlemediği bağlantı noktalarına cevap vermiyor, ancak kesinlikle bir parça zihin sunuyorlar. Ve çeşitli trafik için açık birçok portunuz varsa, belki evet bir güvenlik duvarı istersiniz.

Muhtemelen daha da önemlisi, yüklediğiniz uygulamaların güncel olduğundan emin olmaktır. Bir Wordpress istismarından (örneğin) sunucu işletim sistemindeki bazı istismarlardan daha fazla site saldırıya uğruyor. Özel kodlama komut dosyalarınız varsa, yanlışlıkla iletişim formunuz gibi aptalca bir şeyden açık bir kapı bırakmak istemediğiniz için güvenliği de göz önünde bulundurduğunuzdan emin olun.



2
  • İstenmeyen hizmetleri kaldırın ( netstat arkadaşınızdır)

  • Hizmet reklamını devre dışı bırak (sürüm numaralarınızı göstermek Scriptkiddies için harika )

  • Yönetimsel (genel olmayan) bağlantı noktası numaralarını belirsiz bir şeyle değiştirin (22'deki SSH yalnızca sürekli olarak taranacaktır)

  • Kotalarınızdan ve sınırlar dışında İş: cgroups , limits.conf , qos , vs - ve aktif bir şekilde takip - Bir web geliştiricileri kod veya bir DDoS sitenize aşağı darbelere saldırı ve çok geç düzeltme olacak ulaşılamaz kutuyu yaparsa

  • Bazı dağıtımların ağ tabanlı uygulamalar için SELinux / AppArmor / etc profilleri vardır, bunları kullanın

İlk üçü WebMin (bir şekilde) üzerinden gerçekleştirilebilir. Bunun için ServerFault'a bakmak isteyebilirsiniz .



1

Sadece bazı noktalar. - SSH bağlantı noktanızı değiştirin. - dosyaların dizin listesini devre dışı bırakma. - sunucu imzasını, simgeleri kaldırın. - biraz güvenlik duvarı yükleyin

daha pek çok şey var .. Şimdiye gelen şeyleri anlattım ..

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.