Говоря об Ubuntu 10.04, server edition, какие инструменты/практики вы бы порекомендовали для защиты сервера?
Это немного неконкретно, но в целом вам нужно
Запустить брандмауэр, например, iptables или ufw , чтобы управлять подключение к открытым портам.
Устанавливайте только те программы, которые вам нужны.
Запускать только те службы, которые необходимы для работы сервера.
Поддерживайте это программное обеспечение в актуальном состоянии со всеми обновлениями безопасности.
Установите новых пользователей с наименьшими привилегиями, которые им требуются для выполнения их обязанностей.
Запустите denyhosts или fail2ban , чтобы проверить атаки методом перебора.
Запустите logwatch , чтобы отправить вам электронное сообщение о любых аномалиях в файлах журнала.
Часто проверяйте журналы на предмет подозрительных действий.
Всегда используйте sudo и используйте надежные пароли.
Отключить слабые и средние шифры в SSL для apache, exim, proftpd, dovecot и т. Д.
Установите службы для прослушивания только локального хоста (при необходимости).
Выполнять chkrootkit ежедневно.
Запускайте clamscan так часто, как это требуется для проверки на наличие вирусов Windows (при необходимости).
Будьте бдительны, знайте свой сервер, знайте, что он должен делать и чего не должен делать.
Вы будете держать вещи в безопасности, постоянно проверяя и обеспечивая. Если вы не знаете, что что-то делает, как или почему, или что-то выглядит подозрительно, просто попросите совета у других.
Что-то, что я не вижу, упомянуто, "использовать 64 бита". Это гарантирует, что у вас есть защита памяти NX, среди прочего.
Потрясающий ответ Ричарда Холлоуэя. Если вы ищете конкретное пошаговое руководство, посмотрите следующее руководство из 2 частей из библиотеки Slicehost.
Я использую его почти везде, когда мне нужно настроить экземпляр Ubuntu Server. Я уверен, что вам понравится.
Другой замечательный источник - библиотека Линоде по адресу http://library.linode.com/
. Проверьте статьи в обоих местах. Там доступно множество информации, и вы будете вооружены достаточными знаниями, чтобы отлично справляться с вашим сервером.
PS: библиотека ни в коем случае не может заменить интуицию, понимание и принятие решений великого системного администратора.
Я рекомендую три вещи:
Смонтировать все глобально доступные для записи области (/ tmp, / var / tmp) как «noexec»: по большей части это безопасно без причуды, кроме (на момент написания), если вы не решите обновить свою систему. См. Ошибку # 572723 на панели запуска для получения более подробной информации.
Не устанавливайте компиляторы или ассемблеры, если это не является абсолютно необходимым: я думаю, что это само за себя.
Начало работы с AppArmor: AppArmor можно рассматривать как альтернативу SELinux и является отличной возможностью Ubuntu для запуска приложений, работающих в песочнице, чтобы гарантировать, что у них больше нет доступа, чем им нужно. Я рекомендую просмотреть руководство на форумах, если вы заинтересованы. http://ubuntuforums.org/showthread.php?t=1008906
На вашем месте я бы посмотрел на iptables (стандартный брандмауэр Linux) и увидел, какие службы запущены. По сути, вы хотите запускать только те службы, которые вам нужны, то есть не запускать веб-сервер, когда вы просто хотите настроить почтовый сервер, и открывать только те порты, которые вам действительно нужны. Все остальное должно быть заблокировано!
Руководство по iptables: https://help.ubuntu.com/community/IptablesHowTo
Надеюсь, это поможет!
[ 114] ps Если вам нужна дополнительная помощь, подключитесь к irc и подключитесь к каналу # ubuntu-server на freenode.
Для брандмауэров вы можете посмотреть @ Firestarter или ufw с gufw .