it-swarm-vi.com

Làm thế nào một máy chủ nên được bảo mật?

Nói về Ubuntu 10.04, phiên bản máy chủ, bạn muốn giới thiệu những công cụ/thực hành nào để bảo mật máy chủ?

22
Grant Palin

Điều này hơi không cụ thể, nhưng nói chung bạn sẽ cần phải

  • Chạy tường lửa như iptables hoặc fw để quản lý kết nối với các cổng mở.

  • Chỉ cài đặt phần mềm theo yêu cầu của bạn.

  • Chỉ chạy các dịch vụ cần thiết cho hoạt động của máy chủ.

  • Giữ cho phần mềm đó được cập nhật với tất cả các bản vá bảo mật.

  • Thiết lập người dùng mới với ít đặc quyền nhất mà họ yêu cầu để thực hiện nhiệm vụ của mình.

  • Chạy denyhosts hoặc fail2ban để kiểm tra các cuộc tấn công vũ phu.

  • Chạy logwatch để gửi email cho bạn về bất kỳ sự bất thường nào trong các tệp nhật ký.

  • Kiểm tra nhật ký của bạn thường xuyên cho các hoạt động đáng ngờ.

  • Sử dụng Sudo luôn và sử dụng mật khẩu mạnh.

  • Vô hiệu hóa các mật mã yếu và trung bình trong SSL cho Apache, exim, proftpd, dovecot, v.v.

  • Đặt dịch vụ chỉ nghe localhost (khi thích hợp).

  • Chạy chkrootkit hàng ngày.

  • Chạy clamscan thường xuyên như được yêu cầu để kiểm tra virus cửa sổ (nếu thích hợp).

  • Hãy cảnh giác, biết máy chủ của bạn, biết những gì nó nên làm và những gì nó không nên làm.

Bạn sẽ chỉ giữ mọi thứ an toàn bằng cách liên tục kiểm tra và bảo mật. Nếu bạn không biết điều gì làm hoặc làm thế nào hoặc tại sao, hoặc điều gì đó có vẻ đáng ngờ, chỉ cần hỏi người khác để được tư vấn.

25
Richard Holloway

Câu trả lời tuyệt vời của Richard Holloway. Nếu bạn đang tìm kiếm một hướng dẫn từng bước cụ thể, hãy kiểm tra hướng dẫn 2 phần sau đây từ thư viện Slicehost.

  1. http://articles.slicehost.com/2010/4/30/ubfox-lucid-setup-part-1
  2. http://articles.slicehost.com/2010/4/30/ubfox-lucid-setup-part-2

Tôi sử dụng nó ở hầu hết mọi nơi khi tôi phải thiết lập một phiên bản Ubuntu Server. Tôi chắc chắn bạn sẽ thích nó.

Nguồn tuyệt vời khác là Thư viện Linode tại http: // l Library.linode.com/

Hãy kiểm tra các bài viết ở cả hai nơi. Vô số thông tin có sẵn ở đó và bạn sẽ được trang bị đủ kiến ​​thức để xử lý tốt máy chủ của mình.

Tái bút: Không có cách nào, một thư viện có thể thay thế cho khả năng trực giác, hiểu biết và khả năng ra quyết định của một quản trị viên hệ thống tuyệt vời.

9
Mir Nazim

Một cái gì đó tôi không thấy đề cập đến là "sử dụng 64 bit". Điều này đảm bảo bạn đã có bảo vệ bộ nhớ NX, trong số những thứ khác.

2
Kees Cook

Ba điều tôi có xu hướng khuyên là:

  • Gắn kết tất cả các khu vực có thể ghi trên toàn cầu (/ tmp,/var/tmp) là 'noexec': Phần lớn này an toàn không có quirks, ngoại trừ (như khi viết) trừ khi bạn chọn nâng cấp hệ thống của mình. Xem lỗi # 572723 trên Launchpad để biết thêm chi tiết tại đó.

  • Đừng cài đặt bất kỳ trình biên dịch hoặc trình biên dịch nào trừ khi thực sự cần thiết: Tôi nghĩ điều này tự giải thích.

  • Bắt đầu với AppArmor: AppArmor có thể được xem là một giải pháp thay thế cho SELinux và là tính năng tuyệt vời của Ubuntu đối với các ứng dụng chạy hộp cát để đảm bảo chúng không có quyền truy cập nhiều hơn những gì chúng cần. Tôi khuyên bạn nên xem hướng dẫn trên các diễn đàn nếu bạn quan tâm. http://ubuntuforums.org/showthread.php?t=1008906

1
ibuclaw
  • Cài đặt và cấu hình iptables với một quy tắc phù hợp cho môi trường của bạn. Lọc cả lưu lượng truy cập trong và ngoài nước.
  • psad để phát hiện và cảnh báo về mọi lần quét cổng đối với hệ thống của bạn.
  • Sử dụng fail2ban để ngăn chặn các nỗ lực đăng nhập mạnh mẽ chống lại SSH.
  • Không cho phép truy cập từ xa bằng tài khoản root, vì điều này trong số những thứ khác có nghĩa là nếu kẻ tấn công sẽ cố gắng truy cập vào máy chủ của bạn, họ phải tập luyện cả tên người dùng và mật khẩu.
  • Sử dụng mật khẩu mạnh cho tất cả các tài khoản người dùng.
  • Giới hạn quyền truy cập SSH chỉ khả dụng từ một số địa chỉ IP nhất định nếu có thể.
  • Sử dụng Tripwire của một hệ thống phát hiện xâm nhập dựa trên máy chủ khác.
  • Giám sát máy chủ với chương trình giám sát mạng như nagios.
1
Mark Davidson

Đối với tường lửa, bạn có thể có một cái nhìn @ Firestarter hoặc fw với gufw .

0
ssanj