Як слід захистити сервер? [зачинено]


22

Якщо говорити про Ubuntu 10.04, серверне видання, які інструменти / практики ви б рекомендували захистити сервер?

Відповіді:


25

Це трохи неспецифічно, але взагалі вам потрібно

  • Запустіть брандмауер на зразок iptables або ufw, щоб керувати з'єднанням з відкритими портами.

  • Встановлюйте лише програмне забезпечення, яке вимагаєте.

  • Запускайте лише сервіси, які мають важливе значення для роботи сервера.

  • Слідкуйте за тим, щоб це програмне забезпечення було в курсі всіх патчів безпеки.

  • Створіть нових користувачів з найменшими привілеями, необхідними для виконання своїх обов'язків.

  • Запустіть denyhosts або fail2ban, щоб перевірити нападів грубої сили.

  • Запуск Logwatch по електронній пошті вам про будь - яких аномалій в лог - файли.

  • Часто перевіряйте свої журнали на наявність підозрілих дій.

  • Використовуйте sudo завжди та використовуйте надійні паролі.

  • Вимкніть шифри слабкої та середньої міцності в SSL для apache, exim, proftpd, dovecot тощо.

  • Встановіть сервіси лише для прослуховування localhost (де це доречно).

  • Запускайте chkrootkit щодня.

  • Запускайте молюски настільки часто, скільки потрібно для перевірки наявності вірусів Windows (якщо це доречно).

  • Будьте пильні, знайте свій сервер, знайте, що він повинен робити і що він не повинен робити.

Ви будете тримати речі в безпеці, постійно перевіряючи та забезпечуючи безпеку. Якщо ви не знаєте, що щось робить, як і чому, або щось виглядає підозріло, просто попросіть інших поради.


9

Дивовижна відповідь Річарда Холлоуей. Якщо ви шукаєте конкретний покроковий посібник, огляньте наступні 2 посібники з бібліотеки Slicehost.

  1. http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-1
  2. http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-2

Я використовую його майже всюди, коли мені потрібно встановити екземпляр сервера Ubuntu. Я впевнений, що вам сподобається.

Іншим чудовим джерелом є Бібліотека Linode за адресою http://library.linode.com/

Перевірте статті в обох місцях. Там доступна кількість інформації, і ви будете озброєні достатньою кількістю знань, щоб добре працювати з вашим сервером.

PS: Ні в якому разі бібліотека не може бути заміною інтуїції, проникливості та можливостей прийняття рішень.


Завжди радий будь-якої допомоги
Мир Назим,

"Дивовижна відповідь Річарда Холлоуей ..." - Спасибі людина. Я бачу, що ми станемо чудовими друзями.
Річард Холлоуей

2

Щось я не бачу згадувати - це "використовувати 64 біт". Це гарантує, серед іншого, захист пам'яті NX.


А також ви отримуєте локальні кореневі подвиги, якщо використовуєте 32-бітний режим сумісності.
vh1

Тільки якщо ви не залишаєтеся в курсі оновлень безпеки ядра. :)
Кіс Кук

1

Три речі, які я, як правило, рекомендую:

  • Змонтуйте всі області, що записуються у глобальному масштабі (/ tmp, / var / tmp) як "noexec". Здебільшого це безпечно без химерностей, за винятком випадків, коли ви вирішили оновити систему. Дивіться помилку № 572723 на Launchpad, щоб отримати докладнішу інформацію там.

  • Не встановлюйте жодних компіляторів чи асемблерів, якщо це абсолютно не потрібно: я вважаю, що це само собою зрозуміло.

  • Початок роботи з AppArmor: AppArmor можна розглядати як альтернативу SELinux, і це відмінна особливість Ubuntu для запущених програм пісочниці, щоб гарантувати, що вони не мають більше доступу, ніж те, що їм потрібно. Рекомендую переглянути посібник на форумах, якщо вас цікавить. http://ubuntuforums.org/showthread.php?t=1008906


1
  • Встановіть і налаштуйте iptables з відповідним набором правил для вашого оточення. Фільтрація як вхідного, так і вихідного трафіку.
  • psad для виявлення та оповіщення про сканування портів на вашу систему.
  • Використовуйте fail2ban для запобігання грубій спробі входу проти SSH.
  • Забороніть віддалений доступ за допомогою кореневого облікового запису, оскільки це, серед іншого, означає, що якщо зловмисник намагатиметься змусити доступ до вашого сервера, їм доведеться тренувати і ім’я користувача, і пароль.
  • Використовуйте надійні паролі для всіх облікових записів користувачів.
  • Якщо можливо, обмежте доступ до SSH лише з певних IP-адрес.
  • Використовуйте Tripwire іншої системи виявлення вторгнень на основі хоста.
  • Слідкуйте за сервером за допомогою програми моніторингу мережі, як nagios.

0

Якби я був ти, я заглянув у iptables (стандартний брандмауер Linux) і побачив, які служби працюють. По суті, ви хочете запускати лише ті сервіси, які вам потрібні, тобто не запускати веб-сервер, коли ви просто хочете налаштувати сервер електронної пошти та мати лише відкриті порти, які вам потрібні. Все інше має бути заблоковано!

Посібник з iptables: https://help.ubuntu.com/community/IptablesHowTo

Сподіваюся, це допомагає!

ps Якщо вам потрібна додаткова допомога, перейдіть на irc і натисніть канал # ubuntu-сервер на freenode


Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.