it-swarm.asia

كيف يمكنني تأمين تثبيت VPS؟

ما هي الخطوات الأساسية لتأمين تثبيت VPS الذي أخطط لتثبيت Webmin عليه لاستضافة المدونات والمشاريع الشخصية الخاصة بي؟

16
JFW

إجابة danlefree على هذا السؤال المماثل وثيقة الصلة هنا: ما مدى صعوبة VPS غير المدارة؟

يعد تأمين الخادم أكثر من مجرد مهمة لمرة واحدة.

تتضمن المهام الأولية لمرة واحدة:

  • تصلب SSHd (هناك عدد من النصائح والبرامج التعليمية من أجل هذا ، هذا كان أول واحد حسن المظهر الذي جاء من البحث.
  • التأكد من إيقاف تشغيل الخدمات غير الضرورية (أو الأفضل ، إلغاء تثبيتها).
  • تأكد من أن الخدمات التي لا تحتاج إلى أن تكون متاحة للجمهور ليست كذلك. على سبيل المثال ، قم بتكوين خادم قاعدة البيانات للاستماع فقط على الواجهات المحلية و/أو إضافة قواعد جدار الحماية لمنع محاولات الاتصال الخارجية.
  • التأكد من تشغيل المستخدمين (المستخدمين) الذين يستخدمون خادم الويب الخاص بك (وغيرها من الخدمات) لأنهم لا يملكون حق وصول للقراءة إلى الملفات/الدلائل التي لا تتعلق بهم ولا يكتبون على أي شيء آخر ما لم يحتاجوا إلى حق الوصول للكتابة إلى الملفات/الدلائل المحددة (لقبول الصور التي تم تحميلها على سبيل المثال).
  • قم بإعداد روتين نسخ احتياطي تلقائي جيد للاحتفاظ بنسخ احتياطية عبر الإنترنت (يفضل أن يكون ذلك على خادم آخر أو في المنزل) بحيث يتم نسخ المحتوى الخاص بك في مكان آخر حتى تتمكن من استعادته في حالة حدوث الأسوأ على الخادم (اكتمال التعطل غير القابل للاسترداد أو الاختراق)
  • تعلم عن جميع الأدوات التي قمت بتثبيتها على الخادم الخاص بك (اقرأ الوثائق ، وربما ثبتها في بيئة اختبار ، يقول محلي VM ضمن virtualbox ، لتجربة تكوينات مختلفة وكسر + إصلاحها) بحيث يكون لديك فرصة لتكون قادرًا على حل المشكلات في حالة حدوثها (أو على الأقل تشخيص مثل هذه المشكلات بشكل صحيح حتى تتمكن من مساعدة شخص آخر على حل المشكلة). سوف تشكر نفسك على الوقت الذي تقضيه في هذا في وقت ما في المستقبل!

المهام الجارية تشمل:

  • التأكد من تطبيق تحديثات الأمان لنظام التشغيل الأساسي في الوقت المناسب. يمكن استخدام أدوات مثل apticron لإطلاعك على التحديثات التي تحتاج إلى تطبيقها. أود تجنب الإعدادات التي تطبق التحديثات تلقائيًا - تريد مراجعة ما على وشك التغيير قبل التشغيل (في حالة debian/ubuntu) aptitude safe-upgrade ، حتى تعرف ما الذي يجب القيام به لخادمك.
  • تأكد من أن التحديثات في أي مكتبات/تطبيقات/نصوص برمجية تقوم بتثبيتها يدويًا (أي ليس من مستودعات التوزيع القياسية باستخدام إدارة الحزمة المدمجة) مثبتة أيضًا في الوقت المناسب. قد يكون لهذه libs/apps/scrips قوائم بريدية خاصة بهم للإعلان عن التحديثات ، أو قد تضطر فقط إلى مراقبة مواقعهم على الويب بانتظام لإطلاعك على أحدث المعلومات.
  • الحفاظ على علم بمشكلات الأمان التي تحتاج إلى إصلاح عن طريق تغييرات التكوين بدلاً من الحزم المصححة أو التي تحتاج إلى حل حتى يتم إنشاء حزمة مصححة + اختبار + إصدارها. اشترك في أي قوائم بريدية متعلقة بالأمان يديرها الأشخاص الذين يحافظون على توزيعك ، وتراقب مواقع التكنولوجيا التي قد تبلغ أيضًا عن مثل هذه المشكلات.
  • إدارة بعض أشكال النسخ الاحتياطي دون اتصال للحصول على جنون العظمة الإضافي. إذا قمت بنسخ خادمك احتياطيًا إلى جهاز منزلي ، فاكتب نسخة على CD/DVD/USB-stick بشكل منتظم.
  • اختبار النسخ الاحتياطية الخاصة بك من حين لآخر ، حتى تعرف أنها تعمل بشكل صحيح. نسخة احتياطية لم تختبر ليست نسخة احتياطية جيدة. لا تريد أن يموت خادمك ، ثم اكتشف أن بياناتك لم يتم نسخها احتياطيًا بشكل صحيح لعدة أشهر.

يتم تثبيت جميع توزيعات Linux الجيدة في حالة آمنة بدرجة معقولة (على الأقل بعد أول مجموعة من التحديثات عندما تقوم بسحب تصحيحات الأمان التي تم إصدارها منذ ضغط/إلغاء تثبيت القرص المضغوط/صورة التثبيت) الوظيفة ليست صعبة ، لكن الأمر سيستغرق وقتًا أطول مما تتوقع.

13
David Spillett

إن الشيء العظيم في نظام VPS لنظام التشغيل linux هو أنها آمنة تمامًا خارج الصندوق. توصيتي الأولى على الرغم من أن أتحدث إلى المضيف الخاص بك ومعرفة ما إذا كانت سوف تصلب أو تحسين الأمن بالنسبة لك. تتم إدارة معظم VPS باستخدام لوحة التحكم (webmin أو cpanel أو ما إلى ذلك) وستقوم بالكثير من أجلك. لا سيما إذا كنت غير متأكد من أن ما تفعله هو الخيار الأفضل ، في رأيي.

إذا كنت لوحدك ، فراجع أولاً جدار الحماية مثل APF (جدار الحماية المتقدم للسياسة؟) أو CSF (جدار الحماية ConfigServer). CSF لديه خيار الكشف عن فشل تسجيل الدخول ، وإذا حاولت تسجيل الدخول وفشل عدة مرات فإنه يحظر تلقائيًا عنوان IP الخاص بك. لست متأكدًا من أن هذه "ضرورية" نظرًا لأن نظام التشغيل linux لا يستجيب على المنافذ التي لا يستمع إليها لحركة المرور على أي حال ، لكنها بالتأكيد تقدم بعض التفكير. وإذا كان لديك الكثير من المنافذ مفتوحة لمجموعة متنوعة من حركة المرور ، فربما نعم ، فأنت تريد جدار حماية.

ربما الأهم من ذلك ، هو التأكد من أن التطبيقات التي تقوم بتثبيتها محدثة. يتم اختراق المزيد من المواقع من خلال Wordpress استغلال (على سبيل المثال) أكثر مما تفعل من خلال استغلال بعض في نظام التشغيل الخادم. إذا كنت مخطوطات تشفير مخصصة ، فتأكد من أنك تراقب الوضع الأمني ​​أيضًا ، لأنك لا ترغب في ترك باب مفتوح دون قصد عبر شيء سخيف مثل نموذج الاتصال الخاص بك.

4
elconejito

إن تأمين أي جهاز ، بما في ذلك VPS ، ليس وصفة دقيقة ، ولكن يمكنك البدء في البرنامج التعليمي لمقدمي VPS الرئيسيين: مكتبة Linode و مقالات Slicehost

3
intlect
  • إزالة الخدمات غير المرغوب فيها ( netstat هو صديقك)

  • تعطيل إعلان الخدمة (الكشف عن أرقام نسختك أمر رائع لـ Scriptkiddies )

  • تغيير أرقام المنافذ الإدارية (وليس العامة) إلى شيء غامض (سيتم فحص SSH في 22 فقط باستمرار)

  • اكتشف حصصك وحدودك: cgroups ، limit.conf ، qos ، وما إلى ذلك - وقم بمراقبتها بنشاط - إذا كان هناك رمز لمطوري الويب أو هجوم DDoS يقرع موقعك ويجعل الصندوق الخاص بك غير قابل للوصول ، فوات الأوان لإصلاحه

  • تحتوي بعض distros --- SELinux / AppArmor /etc لمحات عن التطبيقات المستندة إلى الشبكة ، واستخدامها

يمكن تنفيذ الثلاثة الأولى من خلال WebMin (بطريقة). قد ترغب في انظر من خلال ServerFault لهذا رغم ذلك.

2
Metalshark

أرى أنك ذكرت webmin لذلك سيكون مربع Linux. يرجى التحقق من وثائق توزيعة Linux المحددة التي ستقوم بتثبيتها على هذا الخادم.

بالنسبة إلى CentOS ، راجع هذا http://wiki.centos.org/HowTos/OS_Protection

1
Cristi

فقط بعض النقاط. - تغيير منفذ SSH الخاص بك. - تعطيل قائمة الدليل من الملفات. - إزالة توقيع الخادم ، الرموز. - تثبيت بعض جدار الحماية

هناك أشياء أخرى كثيرة .. لقد أخبرت بالأشياء التي وصلت إلى بلدي الآن ..

1
Vamsi Krishna B