我一直在研究网络服务器的安全威胁。这让我想在我的 Raspbian OS 系统上保护自己的安全。建议或可选在服务器上安装或配置的内容列表是什么。
我目前有:
蛤蜊病毒
失败2禁止
阿帕奇httpd
另外,请为我提供一种配置这些软件包的方法,使其尽可能安全,包括 SSH,因为我将远程处理它。
答案1
1.升级一切
apt update && apt upgrade -y
2.安全的 SSH
grep -P ^Pass /etc/ssh/sshd_config
PasswordAuthentication no
3.配置 iptables(或 ufw 等)仅允许 ssh 和 https
apt install -y iptables-persistent
iptables --flush
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 255 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited
iptables-save > /etc/iptables/rules.v4
ip6tables --flush
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -p ipv6-icmp -j ACCEPT
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT
ip6tables -A INPUT -j REJECT
ip6tables -A FORWARD -j REJECT
ip6tables-save > /etc/iptables/rules.v6
4.要么阻止 apache 运行脚本(PHP 等),要么确保您的代码是好的。
5.使用异地气隙备份、分层安全、入侵检测系统、全磁盘加密、按任务隔离的计算机。
6.使用静态分析
- https://www.ssllabs.com/ssltest/
- https://securityheaders.com/
- https://developers.google.com/web/tools/lighthouse/
- https://jigsaw.w3.org/css-validator/
- https://github.com/exakat/php-static-analysis-tools
- ETC
6.教育自己...