我购买了(刚刚收到)一台新的 1u dell poweredge 860(在 ebay 上花 35 美元买的)。
我已安装完 Ubuntu Server(Ubuntu Server 12.04.3 LTS),安装了 apache/mariadb/memcache/php5
效果很好,但我担心安全问题。
到目前为止,我是唯一一个使用该服务器的人,但最终会有更多的人(朋友、朋友的朋友)使用该服务器、使用 ssh 等...
我想知道我该怎么做才能保护所有信息的安全并且不被黑客入侵,无论是来自网络、ssh、ddos 还是任何其他可能的攻击。
Ubuntu Server 能立即帮您解决这个问题吗?还是我必须自己修复?
谢谢
编辑:
我安装了(到目前为止):
- 所有开发工具
- ssh 服务器
- 灯
我没有安装:
- 图形界面
答案1
搜索确实很有用;
https://askubuntu.com/questions/146775/what-can-be-done-to-secure-ubuntu-server
从以上答案来看;
以下是我为保护服务器安全所采取的措施的列表。
打开 UFW(sudo ufw enable),然后仅允许实际使用的端口。(sudo ufw allow 80)
确保 MySQL 仅允许来自本地主机的连接。
在邮件服务上启用 TLS。即使它是自签名证书。您不希望密码以明文形式发送。
安装 ssh 暴力破解阻止程序,如denyhosts 或 fail2ban。(sudo apt-get install deniedhosts)研究仅进行基于 ssh 密钥的登录。
学习 AppArmor。如果你使用相当普通的配置,那么它非常简单。只要确保它已打开即可。它将有助于减少零日漏洞。
根据对服务器的物理访问,您甚至可能想要考虑加密硬盘上的数据。
遵循此链接中的其他建议。编辑:当我没有足够的声誉来添加更多链接时,我忘记编辑此内容。此处的链接是下面的最后一个链接。
永远不要相信你的用户。如果你有多个用户有权访问系统,请锁定他们。如果你必须授予他们 sudo 访问权限,请只授予他们需要的权限。
运用常识。认真思考一下如果你被锁在门外,你会如何进入。然后堵住那些洞。
您应该搜索“Ubuntu Hardening”并查看您将得到的很长的列表。
上面引用的 UFW 代表简单的防火墙(https://help.ubuntu.com/community/UFW) 这是一种非常好用并且管理 IPTables 的方法。
关于 DDNS 类型攻击,如果您正在提供 Web 内容,您可能需要将 NGINX 配对作为 Apache 的前端静态代理,然后使用 CloudFlare 之类的东西来处理您的 DNS 和弹性。
Digital Ocean 上有大量关于最佳实践和服务设置的优秀文章;
https://www.digitalocean.com/community/community_tags/ubuntu
AskUbuntu 姊妹网站也提供与您的操作系统相关的丰富知识和帮助;
答案2
这是我发现最有用的文章 -http://www.thefanclub.co.za/how-to/how-secure-ubuntu-1204-lts-server-part-1-basics
整个过程只花了几个小时,大部分时间都花在了mod_security部分原因是它与某些最新的 OWASP 规则不兼容,因此我不得不回滚到早期版本(NB v2.2.5 运行良好,说明解释了如何应用早期的规则集)。