Jak należy zabezpieczyć serwer? [Zamknięte]

22

Mówiąc o Ubuntu 10.04, edycja serwera, jakie narzędzia / praktyki poleciłbyś zabezpieczyć serwer?

server security Grant Palin
źródło

Odpowiedzi:

25

To trochę niespecyficzne, ale ogólnie trzeba

  • Uruchom zaporę ogniową, taką jak iptables lub ufw, aby zarządzać połączeniem z otwartymi portami.

  • Instaluj tylko oprogramowanie, którego potrzebujesz.

  • Uruchamiaj tylko te usługi, które są niezbędne do działania serwera.

  • Aktualizuj oprogramowanie we wszystkich łatkach bezpieczeństwa.

  • Ustaw nowych użytkowników z najmniejszymi uprawnieniami, jakich potrzebują do wykonywania swoich obowiązków.

  • Uruchom denyhosts lub fail2ban, aby sprawdzić ataki siłowe.

  • Uruchom program Logwatch, aby wysłać Ci pocztą e-mail informacje o wszelkich nieprawidłowościach w plikach dziennika.

  • Często sprawdzaj dzienniki pod kątem podejrzanych działań.

  • Zawsze używaj sudo i używaj silnych haseł.

  • Wyłącz słabe i średnie siły szyfrowania w SSL dla apache, exim, proftpd, dovecot itp.

  • Ustaw usługi tak, aby nasłuchiwały tylko hosta lokalnego (w stosownych przypadkach).

  • Uruchamiaj chkrootkit codziennie.

  • Uruchamiaj Clamscan tak często, jak to konieczne, aby sprawdzić, czy nie ma wirusów w systemie Windows (jeśli to konieczne).

  • Bądź czujny, poznaj swój serwer, wiedz, co powinien robić i czego nie powinien robić.

Utrzymasz bezpieczeństwo tylko poprzez ciągłe sprawdzanie i zabezpieczanie. Jeśli nie wiesz, co coś robi, jak i dlaczego, lub coś wygląda podejrzanie, po prostu poproś innych o radę.

Richard Holloway
źródło
9

Niesamowita odpowiedź Richarda Hollowaya. Jeśli szukasz konkretnego przewodnika krok po kroku, sprawdź następujący 2-częściowy przewodnik z biblioteki Slicehost.

  1. http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-1
  2. http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-2

Używam go prawie wszędzie, gdy muszę skonfigurować instancję serwera Ubuntu. Jestem pewien, że ci się spodoba.

Innym doskonałym źródłem jest Biblioteka Linode na stronie http://library.linode.com/

Sprawdź artykuły w obu miejscach. Dostępnych jest tam mnóstwo informacji i będziesz uzbrojony w wystarczającą wiedzę, aby dobrze obsługiwać serwer.

PS: W żadnym wypadku biblioteka nie może zastąpić intuicji, wglądu i możliwości podejmowania decyzji przez administratora systemu.

Mir Nazim
źródło
Zawsze cieszę się, że mogę ci pomóc
Mir Nazim
„Niesamowita odpowiedź Richarda Hollowaya ...” - Dzięki stary. Widzę, że zostaniemy wspaniałymi przyjaciółmi.
Richard Holloway,
2

Coś, czego nie widzę, to „użyj 64-bitowego”. Zapewnia to między innymi ochronę pamięci NX.

Kees Cook
źródło
Otrzymujesz także lokalne exploity roota, jeśli używasz 32-bitowego trybu zgodności.
vh1
Tylko jeśli nie będziesz na bieżąco z aktualizacjami zabezpieczeń jądra. :)
Kees Cook
1

Trzy rzeczy, które polecam to:

  • Zamontuj wszystkie globalnie zapisywane obszary (/ tmp, / var / tmp) jako „noexec”: To w przeważającej części jest bezpieczne bez dziwactw, z wyjątkiem (w chwili pisania), chyba że zdecydujesz się na aktualizację systemu. Aby uzyskać więcej informacji, zobacz błąd # 572723 na Launchpad.

  • Nie instaluj żadnych kompilatorów ani asemblerów, chyba że jest to absolutnie konieczne: Myślę, że to oczywiste.

  • Rozpocznij pracę z AppArmor: AppArmor może być postrzegany jako alternatywa dla SELinuksa i jest świetną funkcją Ubuntu do aplikacji działających w piaskownicy, aby upewnić się, że nie mają one większego dostępu niż to, czego potrzebują. Jeśli jesteś zainteresowany, zalecamy przejrzenie przewodnika na forach. http://ubuntuforums.org/showthread.php?t=1008906

ibuclaw
źródło
1
  • Zainstaluj i skonfiguruj iptables z odpowiednim zestawem reguł dla swojego środowiska. Filtrowanie ruchu przychodzącego i wychodzącego.
  • psad do wykrywania i ostrzegania o skanowaniu portów w systemie.
  • Użyj fail2ban, aby zapobiec próbom logowania Brute Force przeciwko SSH.
  • Nie zezwalaj na dostęp zdalny przy użyciu konta root, ponieważ między innymi oznacza to, że jeśli atakujący będzie próbował brutalnie wymusić dostęp do twojego serwera, musi przećwiczyć zarówno nazwę użytkownika, jak i hasło.
  • Używaj silnych haseł dla wszystkich kont użytkowników.
  • Ogranicz dostęp SSH, aby był dostępny tylko z określonych adresów IP, jeśli to możliwe.
  • Użyj Tripwire innego systemu wykrywania włamań opartego na hoście.
  • Monitoruj serwer za pomocą programu do monitorowania sieci, takiego jak nagios.
Mark Davidson
źródło
0

Gdybym był tobą, zajrzałbym do iptables (standardowa zapora systemu Linux) i sprawdziłam, jakie usługi są uruchomione. Zasadniczo chcesz uruchamiać tylko te usługi, których potrzebujesz, tj. Nie uruchamiać serwera WWW, gdy chcesz tylko skonfigurować serwer e-mail, i mieć otwarte tylko te porty, których faktycznie potrzebujesz. Cała reszta powinna zostać zamknięta!

Przewodnik po iptables: https://help.ubuntu.com/community/IptablesHowTo

Mam nadzieję że to pomoże!

ps Jeśli potrzebujesz dodatkowej pomocy, wejdź na irc i wejdź na kanał # ubuntu-server na freenode


źródło