Якщо говорити про Ubuntu 10.04, серверне видання, які інструменти / практики ви б рекомендували захистити сервер?
Якщо говорити про Ubuntu 10.04, серверне видання, які інструменти / практики ви б рекомендували захистити сервер?
Відповіді:
Це трохи неспецифічно, але взагалі вам потрібно
Запустіть брандмауер на зразок iptables або ufw, щоб керувати з'єднанням з відкритими портами.
Встановлюйте лише програмне забезпечення, яке вимагаєте.
Запускайте лише сервіси, які мають важливе значення для роботи сервера.
Слідкуйте за тим, щоб це програмне забезпечення було в курсі всіх патчів безпеки.
Створіть нових користувачів з найменшими привілеями, необхідними для виконання своїх обов'язків.
Запустіть denyhosts або fail2ban, щоб перевірити нападів грубої сили.
Запуск Logwatch по електронній пошті вам про будь - яких аномалій в лог - файли.
Часто перевіряйте свої журнали на наявність підозрілих дій.
Використовуйте sudo завжди та використовуйте надійні паролі.
Вимкніть шифри слабкої та середньої міцності в SSL для apache, exim, proftpd, dovecot тощо.
Встановіть сервіси лише для прослуховування localhost (де це доречно).
Запускайте chkrootkit щодня.
Запускайте молюски настільки часто, скільки потрібно для перевірки наявності вірусів Windows (якщо це доречно).
Будьте пильні, знайте свій сервер, знайте, що він повинен робити і що він не повинен робити.
Ви будете тримати речі в безпеці, постійно перевіряючи та забезпечуючи безпеку. Якщо ви не знаєте, що щось робить, як і чому, або щось виглядає підозріло, просто попросіть інших поради.
Дивовижна відповідь Річарда Холлоуей. Якщо ви шукаєте конкретний покроковий посібник, огляньте наступні 2 посібники з бібліотеки Slicehost.
Я використовую його майже всюди, коли мені потрібно встановити екземпляр сервера Ubuntu. Я впевнений, що вам сподобається.
Іншим чудовим джерелом є Бібліотека Linode за адресою http://library.linode.com/
Перевірте статті в обох місцях. Там доступна кількість інформації, і ви будете озброєні достатньою кількістю знань, щоб добре працювати з вашим сервером.
PS: Ні в якому разі бібліотека не може бути заміною інтуїції, проникливості та можливостей прийняття рішень.
Три речі, які я, як правило, рекомендую:
Змонтуйте всі області, що записуються у глобальному масштабі (/ tmp, / var / tmp) як "noexec". Здебільшого це безпечно без химерностей, за винятком випадків, коли ви вирішили оновити систему. Дивіться помилку № 572723 на Launchpad, щоб отримати докладнішу інформацію там.
Не встановлюйте жодних компіляторів чи асемблерів, якщо це абсолютно не потрібно: я вважаю, що це само собою зрозуміло.
Початок роботи з AppArmor: AppArmor можна розглядати як альтернативу SELinux, і це відмінна особливість Ubuntu для запущених програм пісочниці, щоб гарантувати, що вони не мають більше доступу, ніж те, що їм потрібно. Рекомендую переглянути посібник на форумах, якщо вас цікавить. http://ubuntuforums.org/showthread.php?t=1008906
Якби я був ти, я заглянув у iptables (стандартний брандмауер Linux) і побачив, які служби працюють. По суті, ви хочете запускати лише ті сервіси, які вам потрібні, тобто не запускати веб-сервер, коли ви просто хочете налаштувати сервер електронної пошти та мати лише відкриті порти, які вам потрібні. Все інше має бути заблоковано!
Посібник з iptables: https://help.ubuntu.com/community/IptablesHowTo
Сподіваюся, це допомагає!
ps Якщо вам потрібна додаткова допомога, перейдіть на irc і натисніть канал # ubuntu-сервер на freenode
Для брандмауерів ви можете подивитися @ Firestarter або ufw з gufw .