我有一台典型的 vps 服务器,上面有一些自定义站点在端口 80 上运行,还有一台邮件服务器,我没有 DNS 服务器,它是默认的 ubuntu 12.04。我没有任何管理面板,我通过命令行进行所有管理。
我想知道,对于保证这样的服务器的安全来说,绝对重要的例程是什么?
例如,安装监控工具并了解网络流量、经常进行更新(多久一次?)、了解重要日志等。您会建议使用哪些工具?
我不想要诸如更改 ssh 端口等建议,因为这些都是只需做一次的事情,我更感兴趣的是每日/每周/每月的安全例程,您认为哪些日志文件值得关注,您如何查看它们以及频率如何。
答案1
安装监控工具
如果这只是一个盒子,我不会安装任何监控工具,而是依靠脚本。但是如果你想使用监控工具,我会选择扎比克斯[监控] &奥塞克[入侵检测系统]
经常进行更新(多久一次?)
以最近的 heartbleed 漏洞为例,您将如何选择接收通知?您必须随时了解这些事情,并确保及时修补。
您会建议使用什么工具?
面向客户的网站:您是否从事与支付相关的事情,并希望了解 PCI 和 DSS 的最新情况,您可以进行商业扫描,您可以使用 comodo、qualys 等进行查看。
了解重要日志等
这就是我建议使用 ossec 的原因,在大多数情况下(默认情况下)ossec 会处理这个问题。
重要的日志文件:根据您使用的版本,通过编辑 rsyslog.conf 或 syslog.conf 来启用内核日志记录。
mailog/secure/messages/syslog/xferlog/dmesg/dovecot.. [注意:这些可能与您的发行版无关。]
说实话,这个清单可能永远也不会结束 :)