通常情况下,我会:
- 将 SSH 更改为协议 2,不允许 root 登录,更改端口并仅允许公钥。
- 安装 fail2ban。
- 安装 Bastille-Linux 并运行它(设置防火墙等)
- 在 cron 上运行 chkrootkit 和 rkhunter。
我还能做些什么来帮助保护 Debain 服务器(VPS)的安全?
答案1
有一些工具可以让你及时了解操作系统和应用程序补丁以及配置测试。其中一些工具包括最佳实践。你可以定期运行它们来了解你的安全状况。你甚至可以在经过大量研究后编写自己的规则,以确保系统保持你计划的配置。
美国国土安全部是开发安全产品开放标准的先锋。他们和承包商 Mitre 开发了一种语言,称为椭圆形即开放漏洞和评估语言。它使用各种扫描引擎必须支持的“平台”,如 Windows、Linux 和 Cisco IOS。然后,这些扫描引擎获取针对主机或目标执行的特定测试的“定义”,并生成报告。
如果这一切听起来很普通,那确实如此。这是故意的。这允许 Debian 发布自己的网站上的“定义”一次。他们不关心扫描或报告使用什么工具。无需 GUI。免费的扫描仪和结果编写器,椭圆解释器,可以从sourceforge.net下载。 还提供说明。
现在您有了工具来验证您的应用程序是否尽可能安全,您可以继续在网络层提供针对特定攻击的保护。
答案2
安装所有补丁并保持补丁状态。我安装了无人值守升级并启用了安全相关更新。
我通常将 Shorewall 安装为防火墙,并以适当的示例配置作为起点。然后,我将互联网访问限制为预期流量。
答案3
这些都是很好的建议,看起来你已经走在正确的道路上了。但是,不要忽视机器上运行的应用程序/服务。除非你的用户使用默认密码或非常容易猜到的密码,否则大多数破解都不会通过 SSH 进行。它们将通过 Web 应用程序、邮件服务器或机器上运行并公开可用的其他服务进行。
保护基础操作系统只是第一步。保护应用程序对于长期安全来说更为重要。
答案4
运行 nessus 或任何其他漏洞扫描程序,以确保您的服务器足够坚固。