Mówiąc o Ubuntu 10.04, edycja serwera, jakie narzędzia / praktyki poleciłbyś zabezpieczyć serwer?
Mówiąc o Ubuntu 10.04, edycja serwera, jakie narzędzia / praktyki poleciłbyś zabezpieczyć serwer?
Odpowiedzi:
To trochę niespecyficzne, ale ogólnie trzeba
Uruchom zaporę ogniową, taką jak iptables lub ufw, aby zarządzać połączeniem z otwartymi portami.
Instaluj tylko oprogramowanie, którego potrzebujesz.
Uruchamiaj tylko te usługi, które są niezbędne do działania serwera.
Aktualizuj oprogramowanie we wszystkich łatkach bezpieczeństwa.
Ustaw nowych użytkowników z najmniejszymi uprawnieniami, jakich potrzebują do wykonywania swoich obowiązków.
Uruchom denyhosts lub fail2ban, aby sprawdzić ataki siłowe.
Uruchom program Logwatch, aby wysłać Ci pocztą e-mail informacje o wszelkich nieprawidłowościach w plikach dziennika.
Często sprawdzaj dzienniki pod kątem podejrzanych działań.
Zawsze używaj sudo i używaj silnych haseł.
Wyłącz słabe i średnie siły szyfrowania w SSL dla apache, exim, proftpd, dovecot itp.
Ustaw usługi tak, aby nasłuchiwały tylko hosta lokalnego (w stosownych przypadkach).
Uruchamiaj chkrootkit codziennie.
Uruchamiaj Clamscan tak często, jak to konieczne, aby sprawdzić, czy nie ma wirusów w systemie Windows (jeśli to konieczne).
Bądź czujny, poznaj swój serwer, wiedz, co powinien robić i czego nie powinien robić.
Utrzymasz bezpieczeństwo tylko poprzez ciągłe sprawdzanie i zabezpieczanie. Jeśli nie wiesz, co coś robi, jak i dlaczego, lub coś wygląda podejrzanie, po prostu poproś innych o radę.
Niesamowita odpowiedź Richarda Hollowaya. Jeśli szukasz konkretnego przewodnika krok po kroku, sprawdź następujący 2-częściowy przewodnik z biblioteki Slicehost.
Używam go prawie wszędzie, gdy muszę skonfigurować instancję serwera Ubuntu. Jestem pewien, że ci się spodoba.
Innym doskonałym źródłem jest Biblioteka Linode na stronie http://library.linode.com/
Sprawdź artykuły w obu miejscach. Dostępnych jest tam mnóstwo informacji i będziesz uzbrojony w wystarczającą wiedzę, aby dobrze obsługiwać serwer.
PS: W żadnym wypadku biblioteka nie może zastąpić intuicji, wglądu i możliwości podejmowania decyzji przez administratora systemu.
Trzy rzeczy, które polecam to:
Zamontuj wszystkie globalnie zapisywane obszary (/ tmp, / var / tmp) jako „noexec”: To w przeważającej części jest bezpieczne bez dziwactw, z wyjątkiem (w chwili pisania), chyba że zdecydujesz się na aktualizację systemu. Aby uzyskać więcej informacji, zobacz błąd # 572723 na Launchpad.
Nie instaluj żadnych kompilatorów ani asemblerów, chyba że jest to absolutnie konieczne: Myślę, że to oczywiste.
Rozpocznij pracę z AppArmor: AppArmor może być postrzegany jako alternatywa dla SELinuksa i jest świetną funkcją Ubuntu do aplikacji działających w piaskownicy, aby upewnić się, że nie mają one większego dostępu niż to, czego potrzebują. Jeśli jesteś zainteresowany, zalecamy przejrzenie przewodnika na forach. http://ubuntuforums.org/showthread.php?t=1008906
Gdybym był tobą, zajrzałbym do iptables (standardowa zapora systemu Linux) i sprawdziłam, jakie usługi są uruchomione. Zasadniczo chcesz uruchamiać tylko te usługi, których potrzebujesz, tj. Nie uruchamiać serwera WWW, gdy chcesz tylko skonfigurować serwer e-mail, i mieć otwarte tylko te porty, których faktycznie potrzebujesz. Cała reszta powinna zostać zamknięta!
Przewodnik po iptables: https://help.ubuntu.com/community/IptablesHowTo
Mam nadzieję że to pomoże!
ps Jeśli potrzebujesz dodatkowej pomocy, wejdź na irc i wejdź na kanał # ubuntu-server na freenode
W przypadku zapór ogniowych możesz zajrzeć na stronę @ Firestarter lub ufw z gufw .