Вопросы Теги

Как обеспечить безопасность сервера? [закрыто]

Говоря о Ubuntu 10.04, версии сервера, какие инструменты / методы вы бы рекомендовали защитить сервер?

22
задан 24 October 2010 в 01:28

3594 ответа

Это немного неспецифично, но в общем случае вам понадобится

  • Запустить брандмауэр, например iptables или ufw, для управления подключением к открытым портам.
  • Установить только программного обеспечения, которое требуется.
  • Запускать службы, которые необходимы для работы сервера.
  • Обновляйте это программное обеспечение со всеми исправлениями безопасности.
  • Настройте новых пользователей с наименьшими привилегиями, которые им необходимы для выполнения своих обязанностей.
  • Запустите denyhosts или fail2ban, чтобы проверять атаки с использованием грубой силы.
  • Запустить logwatch для отправки вам каких-либо аномалий в файлах журналов.
  • Часто проверяйте свои журналы на подозрительные виды деятельности.
  • Использовать sudo всегда и использовать сильные пароли.
  • Отключить слабые и средние шифры в SSL для apache, exim, proftpd, dovecot и т. д.
  • Установить службы на
  • Выполнять chkrootkit daily.
  • Запускать clamscan так часто, как требуется для проверки на наличие вирусов Windows (при необходимости).
  • Будьте бдительны, знайте свой сервер, знаете, что он должен делать, и что он не делает.

Вы будете только держать вещи в безопасности, постоянно проверяя и защищая. Если вы не знаете, что что-то делает или как или почему, или что-то выглядит подозрительно, просто спросите других о советах.

25
ответ дан 8 August 2018 в 20:23

Это немного неспецифично, но в общем случае вам понадобится

  • Запустить брандмауэр, например iptables или ufw, для управления подключением к открытым портам.
  • Установить только программного обеспечения, которое требуется.
  • Запускать службы, которые необходимы для работы сервера.
  • Обновляйте это программное обеспечение со всеми исправлениями безопасности.
  • Настройте новых пользователей с наименьшими привилегиями, которые им необходимы для выполнения своих обязанностей.
  • Запустите denyhosts или fail2ban, чтобы проверять атаки с использованием грубой силы.
  • Запустить logwatch для отправки вам каких-либо аномалий в файлах журналов.
  • Часто проверяйте свои журналы на подозрительные виды деятельности.
  • Использовать sudo всегда и использовать сильные пароли.
  • Отключить слабые и средние шифры в SSL для apache, exim, proftpd, dovecot и т. д.
  • Установить службы на
  • Выполнять chkrootkit daily.
  • Запускать clamscan так часто, как требуется для проверки на наличие вирусов Windows (при необходимости).
  • Будьте бдительны, знайте свой сервер, знаете, что он должен делать, и что он не делает.

Вы будете только держать вещи в безопасности, постоянно проверяя и защищая. Если вы не знаете, что что-то делает или как или почему, или что-то выглядит подозрительно, просто спросите других о советах.

25
ответ дан 10 August 2018 в 10:55

Это немного неспецифично, но в общем случае вам понадобится

  • Запустить брандмауэр, например iptables или ufw, для управления подключением к открытым портам.
  • Установить только программного обеспечения, которое требуется.
  • Запускать службы, которые необходимы для работы сервера.
  • Обновляйте это программное обеспечение со всеми исправлениями безопасности.
  • Настройте новых пользователей с наименьшими привилегиями, которые им необходимы для выполнения своих обязанностей.
  • Запустите denyhosts или fail2ban, чтобы проверять атаки с использованием грубой силы.
  • Запустить logwatch для отправки вам каких-либо аномалий в файлах журналов.
  • Часто проверяйте свои журналы на подозрительные виды деятельности.
  • Использовать sudo всегда и использовать сильные пароли.
  • Отключить слабые и средние шифры в SSL для apache, exim, proftpd, dovecot и т. д.
  • Установить службы на
  • Выполнять chkrootkit daily.
  • Запускать clamscan так часто, как требуется для проверки на наличие вирусов Windows (при необходимости).
  • Будьте бдительны, знайте свой сервер, знаете, что он должен делать, и что он не делает.

Вы будете только держать вещи в безопасности, постоянно проверяя и защищая. Если вы не знаете, что что-то делает или как или почему, или что-то выглядит подозрительно, просто спросите других о советах.

25
ответ дан 13 August 2018 в 17:30

Удивительный ответ Ричарда Холлоуэя. Если вы ищете конкретное пошаговое руководство, ознакомьтесь со следующим руководством по двум статьям из библиотеки Slicehost.

http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup- part-1 http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-2

Я использую его почти везде, когда мне нужно настроить экземпляр Ubuntu Server. Я уверен, что вам понравится.

Другим отличным источником является библиотека Linode по адресу http://library.linode.com/

Просмотрите статьи в обоих местах.

PS: Ни в коем случае библиотека не может заменять интуицию, понимание и решение великой sys-админы, которые могут быть полезны для вашего сервера. способствуя.

9
ответ дан 29 May 2018 в 12:59
  • 1
    Всегда рад оказать любую помощь – Mir Nazim 5 August 2010 в 12:39
  • 2
    «Удивительный ответ Ричарда Холлоуэя ...». - Спасибо чувак. Я вижу, мы станем великими друзьями. – Richard Holloway 5 August 2010 в 12:52

Что-то, о чем я не упоминал, «использует 64-битный». Это гарантирует, что у вас есть защита от NX-памяти, среди прочего.

2
ответ дан 29 May 2018 в 12:59
  • 1
    А также вы используете локальные корневые эксплойты, если вы используете 32-разрядный режим совместимости. – vh1 22 September 2010 в 00:47
  • 2
    Только если вы не останетесь в курсе обновлений безопасности ядра. :) – Kees Cook 28 October 2010 в 08:12

Три вещи, которые я рекомендую, следующие:

Установите все глобально записываемые области (/ tmp, / var / tmp) как «noexec»: это по большей части безопасно без причуд, кроме (как письма), если вы не решите обновить свою систему. См. Здесь ошибку # 572723 на Launchpad. Не устанавливайте никаких компиляторов или сборщиков, если это абсолютно необходимо: я думаю, что это само объяснение. Начните с AppArmor: AppArmor можно рассматривать как альтернативу SELinux, и это отличная функция Ubuntu для работы приложений с песочницей, чтобы гарантировать, что они не имеют больше доступа, чем того, что им нужно. Я рекомендую просмотреть руководство на форумах, если вы заинтересованы. http://ubuntuforums.org/showthread.php?t=1008906
1
ответ дан 29 May 2018 в 12:59
Установите и настройте iptables с соответствующим набором правил для вашей среды. Фильтрация входящего и исходящего трафика. psad для обнаружения и предупреждения о любом сканировании портов в вашей системе. Используйте fail2ban для предотвращения попыток входа в систему принудительного входа в SSH. Отключите удаленный доступ с помощью учетной записи root, так как это, среди прочего, означает, что если злоумышленник попытается использовать принудительный доступ к вашему серверу, ему необходимо выполнить настройку как имени пользователя, так и пароля. Используйте надежные пароли для всех учетных записей пользователей. Ограничьте доступ к SSH только для доступа с определенных IP-адресов, если это возможно. Используйте Tripwire другой системы обнаружения вторжений на основе хоста. Контролируйте сервер с помощью программы сетевого мониторинга, например nagios.
1
ответ дан 29 May 2018 в 12:59

Если бы я был вами, я бы изучил iptables (стандартный брандмауэр Linux) и посмотрел, какие службы запущены. В основном вы хотите использовать только те службы, которые вам нужны, то есть не запускать веб-сервер, когда вы просто хотите настроить почтовый сервер, и иметь только открытые порты, которые вам действительно нужны. Все остальное должно быть заблокировано!

Руководство по iptables: https://help.ubuntu.com/community/IptablesHowTo

Надеюсь, что это поможет!

ps Если вам нужна дополнительная помощь, войдите в irc и нажмите канал # ubuntu-server на freenode

0
ответ дан 29 May 2018 в 12:59

Для брандмауэров вы можете посмотреть @ Firestarter или ufw с gufw.

0
ответ дан 29 May 2018 в 12:59

Если бы я был вами, я бы изучил iptables (стандартный брандмауэр Linux) и посмотрел, какие службы запущены. В основном вы хотите использовать только те службы, которые вам нужны, то есть не запускать веб-сервер, когда вы просто хотите настроить почтовый сервер, и иметь только открытые порты, которые вам действительно нужны. Все остальное должно быть заблокировано!

Руководство по iptables: https://help.ubuntu.com/community/IptablesHowTo

Надеюсь, что это поможет!

ps Если вам нужна дополнительная помощь, войдите в irc и нажмите канал # ubuntu-server на freenode

0
ответ дан 29 May 2018 в 12:59

Если бы я был вами, я бы изучил iptables (стандартный брандмауэр Linux) и посмотрел, какие службы запущены. В основном вы хотите использовать только те службы, которые вам нужны, то есть не запускать веб-сервер, когда вы просто хотите настроить почтовый сервер, и иметь только открытые порты, которые вам действительно нужны. Все остальное должно быть заблокировано!

Руководство по iptables: https://help.ubuntu.com/community/IptablesHowTo

Надеюсь, что это поможет!

ps Если вам нужна дополнительная помощь, войдите в irc и нажмите канал # ubuntu-server на freenode

0
ответ дан 29 May 2018 в 12:59

Если бы я был вами, я бы изучил iptables (стандартный брандмауэр Linux) и посмотрел, какие службы запущены. В основном вы хотите использовать только те службы, которые вам нужны, то есть не запускать веб-сервер, когда вы просто хотите настроить почтовый сервер, и иметь только открытые порты, которые вам действительно нужны. Все остальное должно быть заблокировано!

Руководство по iptables: https://help.ubuntu.com/community/IptablesHowTo

Надеюсь, что это поможет!

ps Если вам нужна дополнительная помощь, войдите в irc и нажмите канал # ubuntu-server на freenode

0
ответ дан 29 May 2018 в 12:59

Три вещи, которые я рекомендую, следующие:

Установите все глобально записываемые области (/ tmp, / var / tmp) как «noexec»: это по большей части безопасно без причуд, кроме (как письма), если вы не решите обновить свою систему. См. Здесь ошибку # 572723 на Launchpad. Не устанавливайте никаких компиляторов или сборщиков, если это абсолютно необходимо: я думаю, что это само объяснение. Начните с AppArmor: AppArmor можно рассматривать как альтернативу SELinux, и это отличная функция Ubuntu для работы приложений с песочницей, чтобы гарантировать, что они не имеют больше доступа, чем того, что им нужно. Я рекомендую просмотреть руководство на форумах, если вы заинтересованы. http://ubuntuforums.org/showthread.php?t=1008906
1
ответ дан 25 July 2018 в 23:19

Что-то, о чем я не упоминал, «использует 64-битный». Это гарантирует, что у вас есть защита от NX-памяти, среди прочего.

2
ответ дан 25 July 2018 в 23:19
  • 1
    А также вы используете локальные корневые эксплойты, если вы используете 32-разрядный режим совместимости. – vh1 22 September 2010 в 00:47
  • 2
    Только если вы не останетесь в курсе обновлений безопасности ядра. :) – Kees Cook 28 October 2010 в 08:12
Установите и настройте iptables с соответствующим набором правил для вашей среды. Фильтрация входящего и исходящего трафика. psad для обнаружения и предупреждения о любом сканировании портов в вашей системе. Используйте fail2ban для предотвращения попыток входа в систему принудительного входа в SSH. Отключите удаленный доступ с помощью учетной записи root, так как это, среди прочего, означает, что если злоумышленник попытается использовать принудительный доступ к вашему серверу, ему необходимо выполнить настройку как имени пользователя, так и пароля. Используйте надежные пароли для всех учетных записей пользователей. Ограничьте доступ к SSH только для доступа с определенных IP-адресов, если это возможно. Используйте Tripwire другой системы обнаружения вторжений на основе хоста. Контролируйте сервер с помощью программы сетевого мониторинга, например nagios.
1
ответ дан 25 July 2018 в 23:19

Удивительный ответ Ричарда Холлоуэя. Если вы ищете конкретное пошаговое руководство, ознакомьтесь со следующим руководством по двум статьям из библиотеки Slicehost.

http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup- part-1 http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-2

Я использую его почти везде, когда мне нужно настроить экземпляр Ubuntu Server. Я уверен, что вам понравится.

Другим отличным источником является библиотека Linode по адресу http://library.linode.com/

Просмотрите статьи в обоих местах.

PS: Ни в коем случае библиотека не может заменять интуицию, понимание и решение великой sys-админы, которые могут быть полезны для вашего сервера. способствуя.

9
ответ дан 25 July 2018 в 23:19
  • 1
    Всегда рад оказать любую помощь – Mir Nazim 5 August 2010 в 12:39
  • 2
    «Удивительный ответ Ричарда Холлоуэя ...». - Спасибо чувак. Я вижу, мы станем великими друзьями. – Richard Holloway 5 August 2010 в 12:52

Для брандмауэров вы можете посмотреть @ Firestarter или ufw с gufw.

0
ответ дан 25 July 2018 в 23:19

Если бы я был вами, я бы изучил iptables (стандартный брандмауэр Linux) и посмотрел, какие службы запущены. В основном вы хотите использовать только те службы, которые вам нужны, то есть не запускать веб-сервер, когда вы просто хотите настроить почтовый сервер, и иметь только открытые порты, которые вам действительно нужны. Все остальное должно быть заблокировано!

Руководство по iptables: https://help.ubuntu.com/community/IptablesHowTo

Надеюсь, что это поможет!

ps Если вам нужна дополнительная помощь, войдите в irc и нажмите канал # ubuntu-server на freenode

0
ответ дан 25 July 2018 в 23:19

Три вещи, которые я рекомендую, следующие:

Установите все глобально записываемые области (/ tmp, / var / tmp) как «noexec»: это по большей части безопасно без причуд, кроме (как письма), если вы не решите обновить свою систему. См. Здесь ошибку # 572723 на Launchpad. Не устанавливайте никаких компиляторов или сборщиков, если это абсолютно необходимо: я думаю, что это само объяснение. Начните с AppArmor: AppArmor можно рассматривать как альтернативу SELinux, и это отличная функция Ubuntu для работы приложений с песочницей, чтобы гарантировать, что они не имеют больше доступа, чем того, что им нужно. Я рекомендую просмотреть руководство на форумах, если вы заинтересованы. http://ubuntuforums.org/showthread.php?t=1008906
1
ответ дан 27 July 2018 в 04:02

Что-то, о чем я не упоминал, «использует 64-битный». Это гарантирует, что у вас есть защита от NX-памяти, среди прочего.

2
ответ дан 27 July 2018 в 04:02
  • 1
    А также вы используете локальные корневые эксплойты, если вы используете 32-разрядный режим совместимости. – vh1 22 September 2010 в 00:47
  • 2
    Только если вы не останетесь в курсе обновлений безопасности ядра. :) – Kees Cook 28 October 2010 в 08:12
Установите и настройте iptables с соответствующим набором правил для вашей среды. Фильтрация входящего и исходящего трафика. psad для обнаружения и предупреждения о любом сканировании портов в вашей системе. Используйте fail2ban для предотвращения попыток входа в систему принудительного входа в SSH. Отключите удаленный доступ с помощью учетной записи root, так как это, среди прочего, означает, что если злоумышленник попытается использовать принудительный доступ к вашему серверу, ему необходимо выполнить настройку как имени пользователя, так и пароля. Используйте надежные пароли для всех учетных записей пользователей. Ограничьте доступ к SSH только для доступа с определенных IP-адресов, если это возможно. Используйте Tripwire другой системы обнаружения вторжений на основе хоста. Контролируйте сервер с помощью программы сетевого мониторинга, например nagios.
1
ответ дан 27 July 2018 в 04:02

Удивительный ответ Ричарда Холлоуэя. Если вы ищете конкретное пошаговое руководство, ознакомьтесь со следующим руководством по двум статьям из библиотеки Slicehost.

http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup- part-1 http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-2

Я использую его почти везде, когда мне нужно настроить экземпляр Ubuntu Server. Я уверен, что вам понравится.

Другим отличным источником является библиотека Linode по адресу http://library.linode.com/

Просмотрите статьи в обоих местах.

PS: Ни в коем случае библиотека не может заменять интуицию, понимание и решение великой sys-админы, которые могут быть полезны для вашего сервера. способствуя.

9
ответ дан 27 July 2018 в 04:02
  • 1
    Всегда рад оказать любую помощь – Mir Nazim 5 August 2010 в 12:39
  • 2
    «Удивительный ответ Ричарда Холлоуэя ...». - Спасибо чувак. Я вижу, мы станем великими друзьями. – Richard Holloway 5 August 2010 в 12:52

Для брандмауэров вы можете посмотреть @ Firestarter или ufw с gufw.

0
ответ дан 27 July 2018 в 04:02

Если бы я был вами, я бы изучил iptables (стандартный брандмауэр Linux) и посмотрел, какие службы запущены. В основном вы хотите использовать только те службы, которые вам нужны, то есть не запускать веб-сервер, когда вы просто хотите настроить почтовый сервер, и иметь только открытые порты, которые вам действительно нужны. Все остальное должно быть заблокировано!

Руководство по iptables: https://help.ubuntu.com/community/IptablesHowTo

Надеюсь, что это поможет!

ps Если вам нужна дополнительная помощь, войдите в irc и нажмите канал # ubuntu-server на freenode

0
ответ дан 27 July 2018 в 04:02

Три вещи, которые я рекомендую, следующие:

Установите все глобально записываемые области (/ tmp, / var / tmp) как «noexec»: это по большей части безопасно без причуд, кроме (как письма), если вы не решите обновить свою систему. См. Здесь ошибку # 572723 на Launchpad. Не устанавливайте никаких компиляторов или сборщиков, если это абсолютно необходимо: я думаю, что это само объяснение. Начните с AppArmor: AppArmor можно рассматривать как альтернативу SELinux, и это отличная функция Ubuntu для работы приложений с песочницей, чтобы гарантировать, что они не имеют больше доступа, чем того, что им нужно. Я рекомендую просмотреть руководство на форумах, если вы заинтересованы. http://ubuntuforums.org/showthread.php?t=1008906
1
ответ дан 31 July 2018 в 10:34

Что-то, о чем я не упоминал, «использует 64-битный». Это гарантирует, что у вас есть защита от NX-памяти, среди прочего.

2
ответ дан 31 July 2018 в 10:34
  • 1
    А также вы используете локальные корневые эксплойты, если вы используете 32-разрядный режим совместимости. – vh1 22 September 2010 в 00:47
  • 2
    Только если вы не останетесь в курсе обновлений безопасности ядра. :) – Kees Cook 28 October 2010 в 08:12
Установите и настройте iptables с соответствующим набором правил для вашей среды. Фильтрация входящего и исходящего трафика. psad для обнаружения и предупреждения о любом сканировании портов в вашей системе. Используйте fail2ban для предотвращения попыток входа в систему принудительного входа в SSH. Отключите удаленный доступ с помощью учетной записи root, так как это, среди прочего, означает, что если злоумышленник попытается использовать принудительный доступ к вашему серверу, ему необходимо выполнить настройку как имени пользователя, так и пароля. Используйте надежные пароли для всех учетных записей пользователей. Ограничьте доступ к SSH только для доступа с определенных IP-адресов, если это возможно. Используйте Tripwire другой системы обнаружения вторжений на основе хоста. Контролируйте сервер с помощью программы сетевого мониторинга, например nagios.
1
ответ дан 31 July 2018 в 10:34

Удивительный ответ Ричарда Холлоуэя. Если вы ищете конкретное пошаговое руководство, ознакомьтесь со следующим руководством по двум статьям из библиотеки Slicehost.

http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup- part-1 http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-2

Я использую его почти везде, когда мне нужно настроить экземпляр Ubuntu Server. Я уверен, что вам понравится.

Другим отличным источником является библиотека Linode по адресу http://library.linode.com/

Просмотрите статьи в обоих местах.

PS: Ни в коем случае библиотека не может заменять интуицию, понимание и решение великой sys-админы, которые могут быть полезны для вашего сервера. способствуя.

9
ответ дан 31 July 2018 в 10:34
  • 1
    Всегда рад оказать любую помощь – Mir Nazim 5 August 2010 в 12:39
  • 2
    «Удивительный ответ Ричарда Холлоуэя ...». - Спасибо чувак. Я вижу, мы станем великими друзьями. – Richard Holloway 5 August 2010 в 12:52

Для брандмауэров вы можете посмотреть @ Firestarter или ufw с gufw.

0
ответ дан 31 July 2018 в 10:34

Если бы я был вами, я бы изучил iptables (стандартный брандмауэр Linux) и посмотрел, какие службы запущены. В основном вы хотите использовать только те службы, которые вам нужны, то есть не запускать веб-сервер, когда вы просто хотите настроить почтовый сервер, и иметь только открытые порты, которые вам действительно нужны. Все остальное должно быть заблокировано!

Руководство по iptables: https://help.ubuntu.com/community/IptablesHowTo

Надеюсь, что это поможет!

ps Если вам нужна дополнительная помощь, войдите в irc и нажмите канал # ubuntu-server на freenode

0
ответ дан 31 July 2018 в 10:34

Другие вопросы по тегам:

Похожие вопросы: