Вопросы
Войти

Обеспечивать свежий сервер Ubuntu [закрыт]

Community

Сказать, что я получил свежую установку Ubuntu, то какие шаги я должен предпринять, чтобы обезопасить его для использования в качестве сервера приложений рельсы?

linux
ubuntu
security
application-server
10 Ответов
Can Berk Güder

Я не могу вспомнить ни Убунту-специфические твики, но вот несколько, которые распространяются на всех дистрибутивах:

  1. Удалить все ненужные пакеты
  2. Использовать только с открытым ключом аутентификация в SSH
  3. Отключить вход root по ssh (не относятся к Ubuntu)
  4. Используйте параметры производства для PHP (в PHP.Ини-рекомендуется)
  5. Настроить MySQL, чтобы использовать только сокеты

Конечно, этот список не полный, и вы никогда не будете в полной безопасности, но она охватывает все подвиги Я видел в реальной жизни.

Кроме того, о подвигах, которые я видел, были почти всегда связаны с небезопасным кодом пользователя, не небезопасной конфигурации. Конфигурации по умолчанию в минимальный, дистрибутивы сервера, как правило, довольно безопасно.

Alister Bulman

Одна быстрая вещь, которую я делаю на ранней стадии установить DenyHosts. Он будет регулярно просматриваю файл /var/журнал/безопасной, ищу неудачных входов, и после пары неудач, заблокировать IP. Я поставил его, чтобы заблокировать после первой нет такого Пользователя, на второй попытки в корне, и после нескольких попыток для реальных пользователей (в случае, если вы запутались, Но вы должны использовать открытый ключ SSH для входа в систему).

Mike McQuaid

В Ubuntu базируется на Debian и я нашел Обеспечение Руководство По Debian чтобы быть очень полезным в Debian-based дистрибутивов, в полностью ходить вас через вашу систему и проверить каждую часть. В общем, это действительно исчерпывающий ответ на ваш вопрос.

Tim Howland

Я обычно установить RKHunter, которая сканирует на руткиты и проверку целостности различные важные системные файлы. Это в стандартном РЕПО, и будет работать ежедневно с хрон. Она не идеальна, securitywise, но это-усилие элемент, который требуется добавить, и это обеспечивает меру защиты.

Mikeage

Установить помощью logcheck, но настроить так, что вы никогда не получите сообщения от регулярных событий, в противном случае вы получите в привычку игнорировать письма.

Проверьте, какие процессы слушают с помощью netstat и убедись, что ничего не работает, что не нужно запускать. Многие демоны могут быть настроены только для прослушивания на внутренний IP (или localhost), а не все интерфейсы.

Jauder Ho

Делайте то, что можете предположить...

Nmap на хост и отключить все неиспользуемые службы. Использовать iptables в случае необходимости.

Timo Geusch

Если вы идете в любом месте рядом с интернет с сервера, установить систему обнаружения вторжений, как фыркают.

2 revsCristian Ciupitu

Используйте отдельные разделы для различных каталогах, как /tmp или /var и монтировать их с nosuid, nodev и noexec если это возможно.

3 revs, 2 users 81%Luke has no name

Некоторые предложения брандмауэра.

Научиться использовать брандмауэр и понятия правильно фиксируя коробку вниз. Изменение порта по умолчанию-это во многом бесполезная вещь; соответствующего приложения и конфигурации брандмауэра гораздо важнее.

Оба находятся в репозиториях Ubuntu:

FireHOL

имеет потрясающий документации и очень легкий в освоении синтаксис. Я смог настроить шлюз/брандмауэр в двадцать минут. Единственная причина, по которой я отошел от этого в том, что он, кажется, не поддерживается (последний релиз 2 года назад). Не значит, что он не работает, но...

Фэрм

еще один. Больше в iptables-подобный синтаксис, но и то же понятие. Более общий, чем FireHOL, но занимает больше времени, чтобы забрать.

Директория

это то, что я сейчас использую. Документация весьма обширна, и ее формат конфигурации в табличной форме. Мне потребовалось полтора часа, чтобы понять все необходимые файлы (6), чтобы получить рабочую брандмауэр/конфигурации шлюза работает. Это достаточно мощный. Совет: Man-страниц различные конфигурационные файлы действительно полезная!

Все эти загрузки настроек из файла config. Очень эффективны, проще в использовании, чем в iptables прямо вверх, а (на мой взгляд) проще в использовании и управлении, чем НПВ.

Другие:

  • Я второй рекомендации для ключа SSH использовать.

  • Настройка идентификаторов.

  • Узнать о в AppArmor. Он ограничивает доступ к файлам программ только в определенные каталоги и файлы. Похожие в SELinux в RHEL мира. Он установлен и включен с предварительно настроенными профилями для многих используемых программ.

mas

А также другие предложения здесь я назову три, которые очевидны, но, возможно, стоит упомянуть для полноты картины:

  1. Если вы не думаете, что вам нужен брандмауэр, подумайте еще раз. НПВ простой, но предназначены для Ubuntu и основанные на базе iptables
  2. Обновление пакетов: как минимум применить все патчи безопасности
  3. Документ, что вы сделали, чтобы защитить сервер и почему. Включить настройка (автоматизированных) процессов мониторинга журналов, проверка конфигурации и обновления безопасности, которые необходимы.