безопасной общей памяти

в/dev/гим может быть использован в атаку против запущенного сервиса, таких как httpd. Измените /etc/fstab, чтобы сделать его более безопасным.

Откройте окно терминала и введите следующую команду :

[Ф1]

добавьте следующую строку и сохраните. Вам необходимо перезагрузить компьютер для вступления изменений в силу :

[Ф2]

безопасной общей памяти

в /etc/sysctl-переменной.conf файл содержит все настройки sysctl. Запретить маршрутизацию источника входящих пакетов и журналов неправильный IP-адресов введите в окне терминала следующую

[Ф3]

, отредактируйте /etc/sysctl-переменной.файл conf и раскомментировать или добавить следующие строки :

[Ф4]

/и т. д./sysctl.конф

[ф5]

предотвратить IP-Спуфинг

Откройте терминал и введите следующее :

[ф6]

Откройте терминал и введите следующее :

[ф7] [dиода d17]Харден PHP для безопасности!диода d17]

редактировать PHP.ini файл :

[ф8]

редактировать PHP.ini файл :

[ф9]

Брандмауэр веб-приложений - ModSecurity

http://www.thefanclub.co.za/how-to/how-install-apache2-modsecurity-and-modevasive-ubuntu-1204-lts-server

Защита от DDoS (отказ в обслуживании) атак - ModEvasive

http://www.thefanclub.co.za/how-to/how-install-apache2-modsecurity-and-modevasive-ubuntu-1204-lts-server

журналы сканирования и блокировки подозрительных хозяев - DenyHosts и кроме того, fail2ban

@DenyHosts

DenyHosts-это программа на языке Python, который автоматически блокирует СШ атак путем добавления записи в /etc/hosts на.отрицать. DenyHosts также будет информировать администраторов о обижая хозяев, атакованных пользователей и подозрительных Логинов.

Откройте терминал и введите следующее :

[ф10]

после установки измените файл конфигурации Откройте терминал и введите следующее : и измените адрес электронной почты и другие настройки по мере необходимости.

для изменения параметров электронной почты администратора откройте окно терминала и введите:

[ф11]

для изменения параметров электронной почты администратора откройте окно терминала и введите:

[ф12]

@ кроме того, fail2ban

[и D40]кроме того, fail2ban является более продвинутой, чем DenyHosts, как она распространяется журнал мониторинга на другие услуги, включая SSH, Апач, курьер, FTP и многое другое.[!и D40] [dрайвер d41]кроме того, fail2ban сканирует лог-файлы и банит Айпишники, которые показывают вредоносных признаки -- слишком много попыток ввода неправильного пароля, ища подвигов и т. д.[!dрайвер d41]

как правило, кроме того, fail2ban затем используется для обновления правила брандмауэра, чтобы отклонить IP-адреса в течение определенного периода времени, хотя любой произвольный другие действия также могут быть настроены. Из коробки кроме того, fail2ban поставляется с фильтрами для различных сервисов (Apache, курьер, фтп, SSH и т. д).

[d43 см.]Откройте терминал и введите следующее :[!d43 см.] [от f13]

после установки измените файл конфигурации Откройте терминал и введите следующее : и создать правила фильтра по мере необходимости.

для редактирования параметров откройте окно терминала и введите:

[ф14]

активировать все услуги, которые вы бы как fail2ban для мониторинга изменения для изменения параметров откройте окно терминала и введите: *включен = истина*

например, если вы хотите включить мониторинг SSH и запрет тюрьму, найдите строку ниже и изменив Enabled с false на True. Вот и все.

[ф15] [о d54]если вы хотите получать false на True если хозяева запретили измените следующую строку в ваш адрес электронной почты.[!о d54] [ф16]

и измените следующую строку с :

[f17 в]

[размером d57]и измените следующую строку с :[!размером d57]

[ф18]

фильтр также можно создать правило для различных услуг, которые вы хотели как fail2ban для монитора, которое не поставляется по умолчанию.

[зг19]

хорошие Инструкции о том, как настроить fail2ban и создания различных фильтров можно найти на HowtoForge - нажать здесь для примера

, когда закончите с конфигурацией кроме того, fail2ban перезапустить службу с :

[ф20]

Вы также можете проверить статус.

[клавиши f21]

проверка на руткиты - помощью chkrootkit и RKHunter.

оба [d63, как]HowtoForge[!d63, как] и помощью chkrootkit в основном сделать то же самое - проверьте вашу систему на наличие руткитов. Никакого вреда в использовании обоих.

создавать фильтры правилом

[ф22]

для запуска помощью chkrootkit откройте окно терминала и введите :

[ф23]

, чтобы обновить и запустить RKHunter. Откройте терминал и введите следующие

[ф24]

проверка открытых портов - nmap на

nmap ("сетевой картограф") является свободным и открытым источником утилита для обнаружения сети и аудита безопасности.

, чтобы обновить и запустить RKHunter. Откройте терминал и введите следующие

[f25 привод датчика] [кадрах, снятых D80]сканировать вашу систему на наличие открытых портов с :[!кадрах, снятых D80] [ф26]

Син сканирование с следующим :

sudo nmap -v -sS localhost

анализирует файлы системного журнала - LogWatch

Logwatch-это настраиваемая система анализа логов. Logwatch анализирует через логи вашей системы и создает отчет, анализируя местах, которые Вы укажете. Logwatch-это простой в использовании и будет работать прямо из пакета на большинстве систем.

Откройте терминал и введите следующее :

[ф28]

для просмотра вывода logwatch использовать менее :

sudo logwatch | less

для отправки отчета по электронной почте logwatch за последние 7 дней на адрес электронной почты, введите следующую команду и заменить mail@domain.com при необходимости по электронной почте. :

[ф30]

Аудит вашей системы безопасности - Тигр.

Тигра-это инструмент безопасности, который можно использовать как аудит безопасности и системы обнаружения вторжений.

Откройте терминал и введите следующее :

[ф31]

для запуска тигра введите :

[f32 из]

все выходные Тигр можно найти в каталоге /var/журнал/тигр

для просмотра отчетов о безопасности тигра, откройте терминал и введите следующее :

sudo less /var/log/tiger/security.report.*

[г70]помощью chkrootkit[!г70]

Поскольку вы сказали, что это веб-хостинг-сервер ... Я хотел бы поделиться своими передовыми практиками и опытом в течение 5 лет на веб-хостинге.

Из моего прошлого опыта, скорее чем вдаваться в конфигурацию ада, вы должны сначала собрать низкий висячий виноград безопасности, как указано в данной статье. Так как у вас есть LAMP, вы должны быть очень осторожными в отношении PHP и его настроек php.ini. Это хорошая ссылка для защиты PHP. PHP имеет супермощности, которые могут стать петлями безопасности, если они не настроены должным образом. Вы можете использовать задание cron для проверки того, когда ваши файлы были изменены без вашего разрешения и, возможно, взломали; используя это задание cron. Я предпочитаю Notepad ++ сравнивать результаты cron (напрямую загружать электронную почту cron с вашего веб-сервера и открывать в Notepad ++). Если вы хотите установить какой-либо SEM, лучше всего использовать cPanel (однако оплачивается). Webmin и zpanel - очень хорошие бесплатные альтернативы. Webmin лучше для него, по крайней мере, использует самоподписанные сертификаты и добавляет безопасность. Если вы хотите, чтобы что-то работало прямо из коробки, вы можете пойти на Linux под ключ. Он основан на Ubuntu, чрезвычайно прост в реализации и гибко отвечает вашим потребностям. С очень небольшим усилием вы получаете безопасность из коробки. Это их стек LAMP. Я лично использую и предпочитаю это только. Если вы начинаете с царапин, то вы также можете установить ISPconfig3. Инструкция здесь. вы можете протестировать свою безопасность, пытаясь проникнуть в вашу безопасность с помощью Back-Track-Linux. хранить сложные длинные и случайные пароли. Не храните их на ПК. Запишите их. Для доступа к этим входам используйте live CD. получить программное обеспечение для защиты от грубой силы, например fail2ban. Не запускайте тех демонов, которые вам не нужны. Заблокируйте все ненужные порты. будьте предельно осторожны с портом SSH (22). Получите себя от статического IP-адреса в системе, через которую вы собираетесь управлять сервером. Сделайте большую часть IP-блока и разрешите только вашему IP-адресу доступ к таким местам конфигурации, как порт 22.

В конце дня ... работайте с полным разумом, web- хостинг-сервер с установкой и применением здравого смысла выбегает далеко.

**My heartiest best wishes to you. good luck.**

Используйте проект Bastille Linux.

Он предоставляет интерактивный инструмент для выполнения дополнительных мер по упрощению безопасности для повышения общей безопасности и снижения восприимчивости к компрометации для вашей системы Ubuntu (от Bastille Linux).

Он предлагает функцию оценки и отчетности, чтобы он мог рассказать вам, какие части системы не заблокированы. Он анализирует систему в режиме «только для чтения», сообщая о статусе каждого из своих упрочняющих элементов. Например, Bastille может проверить, заблокирован ли DNS-сервер в тюрьме chroot, отключен ли telnet или даже если пароли необходимы для хорошей длины. Вы можете посмотреть демо-версию этого веб-сайта по этой ссылке (подробнее Bastille Linux ).

Здесь вы можете просмотреть демонстрацию в Интернете (только). [ ! d6]

Используйте nmap на всех интерфейсах на машине, чтобы вы знали, какие службы вы запускаете на своем компьютере. Это важный инструмент для обеспечения безопасности.

Удалите все службы, которые вам не нужны на внешних интерфейсах. Вы можете настроить MySQL только на определенных интерфейсах, таких как localhost.

Используйте ufw для защиты вашего SSH-сервиса (и возможных других), чтобы он не позволял слишком много (неудачных) подключений в минуту от того же машина. Это сделает атаки грубой силы более жесткими. Чтобы изменить номер порта, это не так уж полезно, просто безвестность, отсутствие безопасности.

Ограничьте количество учетных записей на вашем компьютере. Также не устанавливайте больше пакетов / программ, чем вы на самом деле используете. Установите только X11-клиенты, а не X11-сервер.

Разрешайте только ssh-login для машины с цифровыми сертификатами, без пароля. Это также сделает атаки грубой силы тяжелыми / невозможными.

Я также проконсультируюсь с документом CIS Debian Benchmarks, и у него есть значительное количество процедур и процессов для упрощения операционной системы, которые будут применяться к Ubuntu, поскольку это производная от Debian. Я бы также посоветовал:

Защита Debian Howto Debian Hardening Walkthrough Hardening Ядро Linux с Grsecurity (Debian)

Безопасность всегда идет с ценой. Настройка некоторых реалистичных границ поможет вам в достижении ваших целей. Я бы рассмотрел следующие аспекты:

Против того, что вы защищаете себя (какой тип злодея, каков его бюджет)? Каковы ваши векторы атаки?

Проверяя все ссылки, которые размещены здесь, я думаю, что это нужно добавить. В нем подробно рассказывается не только о том, как настроить программное обеспечение, но и подумать о плане безопасности. В качестве плюса каждая команда для выполнения объясняется источником.

Защита веб-сервера Ubuntu от Xenial 16.04