Як я можу захистити встановлення VPS?

Які основні кроки для забезпечення встановлення VPS, на якому я планую встановити Webmin, щоб розмістити свої блоги та особисті проекти?

Відповідь danlefree на подібне запитання тут досить актуальна: Наскільки складно некерований VPS?

Захист сервера - це більше, ніж просто разове завдання.

Початкові разові завдання включають:

• Загартовування SSHd (для цього є низка порад та навчальних посібників. Це був перший добре знайдений, який з’явився під час пошуку.
• Переконайтесь, що непотрібні сервіси вимкнено (а ще краще - видалити).
• Переконайтесь, що послуги, які не потребують загальнодоступного доступу, не є. Наприклад, налаштуйте сервер бази даних на прослуховування лише локальних інтерфейсів та / або додавання правил брандмауера для блокування спроб зовнішнього з'єднання.
• Переконайтесь у тому, що користувачі, які працювали на ваших веб-серверах (та інші сервіси), не мають доступу для читання до файлів / каталогів, які для них не мають значення, і не записують нічого іншого, якщо їм не потрібен доступ для запису до вибраних файлів / каталогів (щоб, наприклад, прийняти завантажені зображення).
• Налаштуйте гарну автоматизовану процедуру резервного копіювання, щоб зберігати резервні копії в Інтернеті (бажано, на іншому сервері або вдома), щоб ваш вміст скопійовано в іншому місці, щоб ви могли відновити його, якщо найгірше трапиться з сервером (повний непоправний збій або злом)
• Дізнайтеся про всі інструменти, встановлені на вашому сервері (прочитайте документацію, можливо, встановіть їх у тестовому середовищі, скажімо, локальний VM під virtualbox, щоб випробувати різні конфігурації та зламати + виправити), щоб у вас була можливість мати можливість виправити проблеми, якщо вони виникають (або принаймні правильно діагностувати такі проблеми, щоб ви могли допомогти комусь іншому виправити проблему). Ви подякуєте собі за витрачений на це час у якийсь момент майбутнього!

Поточні завдання включають:

• Переконайтесь, що оновлення безпеки для вашої базової ОС застосовуються своєчасно. Такі інструменти, як apticron, можна використовувати для інформування про оновлення, які потрібно застосувати. Я б уникав налаштувань, які автоматично застосовують оновлення - ви хочете переглянути, що має змінитися перед запуском (у випадку з debian / ubuntu) aptitude safe-upgrade, щоб ви знали, що потрібно зробити для вашого сервера.
• Переконайтесь, що оновлення будь-яких бібліотек / додатків / скриптів, які ви встановлюєте вручну (тобто не з ваших стандартних сховищ дистрибутивів, використовуючи вбудоване управління пакетами), також буде встановлено своєчасно. У таких файлах / додатках / сценаріях можуть бути власні списки розсилки для оголошення оновлень, або, можливо, вам доведеться регулярно стежити за їх веб-сайтами, щоб інформувати себе.
• Інформування про проблеми із безпекою, які потребують виправлення через зміни конфігурації, а не виправлених пакетів, або над якими потрібно працювати, поки не буде створено виправлений пакет + перевірено + випущено. Підпишіться на будь-які списки розсилки, пов’язані з безпекою, керовані людьми, які підтримують ваш дистрибутив, і слідкуйте за технологічними сайтами, які також можуть повідомляти про такі проблеми.
• Керування якоюсь формою резервного копіювання в режимі офлайн для додаткової параної. Якщо ви створюєте резервну копію свого сервера на домашній машині, регулярно пишіть копію на CD / DVD / USB-накопичувач.
• Іноді тестуйте резервні копії, щоб ви знали, що вони працюють правильно. Неперевірена резервна копія не є гарною резервною копією. Ви не хочете, щоб ваш сервер помер, а потім дізнаєтесь, що ваші дані не були належним чином створені резервні копії.

Усі хороші дистрибутиви Linux встановлюються в надійно захищеному стані поза коробкою (принаймні після першого набору оновлень, коли ви втягуєте патчі безпеки, які були випущені після натискання / випуску компакт-диска для встановлення / зображення), робота не є складною, але це займе більше часу, щоб зробити добре, ніж ви могли очікувати.

Чудова річ у Linux VPS - це те, що вони досить безпечні поза коробкою. Моя перша рекомендація, хоча це поговорити з вашим господарем і побачити, чи вони посилять або оптимізують безпеку для вас. Більшість VPS з панеллю управління (webmin, cpanel тощо) "керуються", і вони багато для вас зроблять. Особливо, якщо ви не зовсім впевнені, що ви робите, це найкращий вибір, на мою думку.

Якщо ви самостійно, спочатку подивіться на брандмауер типу APF (Advanced Policy Firewall?) Або CSF (ConfigServer Firewall). У CSF є можливість виявлення помилок входу, і якщо ви намагаєтесь увійти та відмовитись занадто багато разів, він автоматично забороняє вашу IP-адресу. Я не впевнений, що вони "необхідні", оскільки Linux не відповідає на порти, які він все одно не слухає для руху, але вони, безумовно, пропонують певний розум. І якщо у вас відкрито багато портів для різноманітного трафіку, можливо, так, ви хочете брандмауер.

Напевно, важливіше - переконатися, що встановлені вами програми оновлені. Більше сайтів отримують злом за допомогою експлуатації Wordpress (наприклад), ніж деякі дії в ОС сервера. Якщо у вас є спеціальні сценарії кодування, обов'язково слідкуйте за безпекою, оскільки ви не хочете ненавмисно залишати відкриті двері через щось нерозумне, як ваша контактна форма.

Забезпечення будь-якої машини, включеної VPS, не є точним рецептом, але ви можете почати з навчальних посібників двох основних постачальників послуг VPS: Бібліотека Linode та статті Slicehost

• Видаліть небажані послуги ( netstat - ваш друг)

• Вимкнути рекламну службу (виявлення номерів версій чудово підходить для Scriptkiddies )

• Змініть адміністративні (не загальнодоступні) номери портів на щось незрозуміле (SSH на 22 просто буде постійно сканувати)

• Опрацюйте свої квоти та обмеження: cgroups , limit.conf , qos тощо - і активно відстежуйте їх - якщо код веб-розробників або DDoS-атака збиває ваш сайт і робить вашу скриньку недоступною, це буде занадто пізно виправити

• Деякі дистрибутиви мають профілі SELinux / AppArmor / тощо для мережевих додатків, використовуйте їх

Перші три можна виконати через WebMin (модно). Можливо, ви хочете переглянути це через ServerFault .

Я бачу, що ви згадуєте webmin, так що це буде вікно Linux. Перевірте документацію конкретного дистрибутива Linux, який ви встановите на цьому сервері.

Для CentOS дивіться це http://wiki.centos.org/HowTos/OS_Protection

Просто деякі моменти. - Змініть свій порт SSH. - відключити перелік файлів у каталозі. - видалити підпис сервера, лексеми. - встановити деякий брандмауер

Є ще багато речей .. Я просто розповів речі, які прийшли до мого зараз ..