在 Digital Ocean 上设置 droplet 时,建议设置一些基本的安全和监控。我最近阅读了很多关于强化新 Ubuntu 服务器的最佳实践。以下是我整理的步骤。社区对这个列表的调整(包括添加或删除)有什么建议吗?
- 创建非root用户[2,3,7,8]
- 将非root用户添加到sudoers组[2,3,8]
- 为非 root 用户添加公共 ssh 密钥[1,2,3,8]
- 使用 ufw 防火墙拒绝所有入站流量 [1,3,4,7]
- 在 ufw 防火墙内打开所需端口 [1,3,4,7]
- 更新 SSH 配置 - 无密码登录 [2,3,7,8,9]
- 更新 SSH 配置 - 禁用 root 登录 [2,3,5,7,8,9]
- 更新 SSH 配置 - 更改 ssh 端口 [2,3,7,8,9]
- 无人值守升级[3,4,6,7]
- 电子邮件的后缀 [2,3,6]
- Logswatch 发送每日摘要电子邮件 [3]
- Fail2ban [2,3,7]
- 将时区设置为 UTC 并安装 NTP [2]
- 安全共享内存[5]
- 添加安全登录横幅 [[5]
- 强化网络层[5]
- 防止 IP 欺骗 [5]
来源
1. Digital Ocean - 7 种安全措施保护您的服务器
2. Digital Ocean - 在新服务器上的前五分钟你会做什么
4. Digitalocean 512MB 上的 Ghost
5. Tech Republic - 如何通过五步强化 Ubuntu Server 16-04 的安全性
6. 如何在 Linux Ubuntu 服务器上配置自动更新
8. Rackspace - Linux 服务器安全最佳实践
如果这不是询问此问题的最佳地点,那哪里是?