Как должен быть защищен сервер? [закрыто]

Это немного неконкретно, но в целом вам нужно

• Запустить брандмауэр, например, iptables или ufw , чтобы управлять подключение к открытым портам.

• Устанавливайте только те программы, которые вам нужны.

• Запускать только те службы, которые необходимы для работы сервера.

• Поддерживайте это программное обеспечение в актуальном состоянии со всеми обновлениями безопасности.

• Установите новых пользователей с наименьшими привилегиями, которые им требуются для выполнения их обязанностей.

• Запустите denyhosts или fail2ban , чтобы проверить атаки методом перебора.

• Запустите logwatch , чтобы отправить вам электронное сообщение о любых аномалиях в файлах журнала.

• Часто проверяйте журналы на предмет подозрительных действий.

• Всегда используйте sudo и используйте надежные пароли.

• Отключить слабые и средние шифры в SSL для apache, exim, proftpd, dovecot и т. Д.

• Установите службы для прослушивания только локального хоста (при необходимости).

• Выполнять chkrootkit ежедневно.

• Запускайте clamscan так часто, как это требуется для проверки на наличие вирусов Windows (при необходимости).

• Будьте бдительны, знайте свой сервер, знайте, что он должен делать и чего не должен делать.

Вы будете держать вещи в безопасности, постоянно проверяя и обеспечивая. Если вы не знаете, что что-то делает, как или почему, или что-то выглядит подозрительно, просто попросите совета у других.

Что-то, что я не вижу, упомянуто, "использовать 64 бита". Это гарантирует, что у вас есть защита памяти NX, среди прочего.

Потрясающий ответ Ричарда Холлоуэя. Если вы ищете конкретное пошаговое руководство, посмотрите следующее руководство из 2 частей из библиотеки Slicehost.

1. http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-1
2. http: // article.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-2

Я использую его почти везде, когда мне нужно настроить экземпляр Ubuntu Server. Я уверен, что вам понравится.

Другой замечательный источник - библиотека Линоде по адресу http://library.linode.com/

. Проверьте статьи в обоих местах. Там доступно множество информации, и вы будете вооружены достаточными знаниями, чтобы отлично справляться с вашим сервером.

PS: библиотека ни в коем случае не может заменить интуицию, понимание и принятие решений великого системного администратора.

Я рекомендую три вещи:

• Смонтировать все глобально доступные для записи области (/ tmp, / var / tmp) как «noexec»: по большей части это безопасно без причуды, кроме (на момент написания), если вы не решите обновить свою систему. См. Ошибку # 572723 на панели запуска для получения более подробной информации.

• Не устанавливайте компиляторы или ассемблеры, если это не является абсолютно необходимым: я думаю, что это само за себя.

• Начало работы с AppArmor: AppArmor можно рассматривать как альтернативу SELinux и является отличной возможностью Ubuntu для запуска приложений, работающих в песочнице, чтобы гарантировать, что у них больше нет доступа, чем им нужно. Я рекомендую просмотреть руководство на форумах, если вы заинтересованы. http://ubuntuforums.org/showthread.php?t=1008906

• Установите и настройте iptables с соответствующим набором правил для вашей среды. Фильтрация как входящего, так и исходящего трафика.
• PSAD для обнаружения и оповещения о сканировании любого порта в вашей системе.
• Используйте fail2ban для предотвращения попыток входа в систему методом «грубой силы» против SSH.
• Запретить удаленный доступ с использованием учетной записи root, так как это, помимо прочего, означает, что если злоумышленник попытается осуществить принудительный доступ к вашему серверу, он должен обработать и имя пользователя, и пароль.
• Используйте надежные пароли для всех учетных записей пользователей.
• Ограничить доступ по SSH, если это возможно, только с определенных IP-адресов.
• Использование Tripwire другой хост-системы обнаружения вторжений.
• Контролируйте сервер с помощью программы мониторинга сети, такой как nagios.

На вашем месте я бы посмотрел на iptables (стандартный брандмауэр Linux) и увидел, какие службы запущены. По сути, вы хотите запускать только те службы, которые вам нужны, то есть не запускать веб-сервер, когда вы просто хотите настроить почтовый сервер, и открывать только те порты, которые вам действительно нужны. Все остальное должно быть заблокировано!

Руководство по iptables: https://help.ubuntu.com/community/IptablesHowTo

Надеюсь, это поможет!

.

Для брандмауэров вы можете посмотреть @ Firestarter или ufw с gufw .