Kako osigurati i očvrsnuti Cloud VM (Ubuntu i CentOS)?

Osiguravanje OS-a jednako je važno kao i web stranica, web aplikacije, mrežno poslovanje.


Možda ćete potrošiti na sigurnosni dodatak, WAF, sigurnost utemeljenu u oblaku radi zaštite svoje web lokacije (Layer 7), ali ostavljanje OS-a bez očvršćenja može biti opasno.

Trend je mijenjanje.

Web prelazi na Cloud iz zajedničkog hostinga za višestruke prednosti.

  • Brže vrijeme odziva jer resursi ne dijele nijedan drugi korisnik
  • Potpuna kontrola na tehnološkom skupu
  • Potpuna kontrola operativnog sustava
  • Niska cijena

“S velikom moći dolazi velika odgovornost”

Dobivate viša kontrola u hostiranju vaše web stranice na cloud VM-u, ali za to je potrebno malo sustavnih vještina administratora za upravljanje VM-om.

Jesi li spreman za to?

Napomena: ako niste spremni uložiti svoje vrijeme u to, onda možete izabrati Cloudways koji upravljaju AWS, Google Cloud, Digital Ocean, Linode, Vultr & Kyup VM.

Uđimo u praktični vodič osigurati Ubuntu i CentOS VM.

Promjena SSH zadanog ulaza

Prema zadanim postavkama, SSH demon sluša broj porta 22. To znači da ako bilo tko pronađe vaš IP može se pokušati povezati s vašim poslužiteljem.

Možda neće moći doći na poslužitelj ako ste se osigurali složenom lozinkom. Međutim, oni mogu pokrenuti brutalne napade kako bi ometali rad poslužitelja.

Najbolje je promijeniti SSH port u nešto drugo, pa iako netko zna IP, njega ne mogu se pokušati povezati koristeći zadani SSH priključak.

Promjena SSH priključka u Ubuntu / CentOS-u je vrlo jednostavna.

  • Prijavite se na svoj VM sa privilegijom root
  • Uzmi sigurnosnu kopiju sshd_config (/ etc / ssh / sshd_config)
  • Otvorite datoteku pomoću VI uređivača

vi / etc / ssh / sshd_config

Potražite liniju koja ima port 22 (obično na početku datoteke)

# Koje portove, IP-ove i protokole slušamo
Luka 22

  • Promijenite 22 u neki drugi broj (osigurajte zapamtiti jer će vam trebati to za spajanje). Recimo 5000

Luka 5000

  • Spremite datoteku i ponovo pokrenite demon SSH

ponovno pokretanje usluge sshd

Sada se vi ili bilo tko nećete moći povezati na vaš poslužitelj pomoću SSH zadanog ulaza. Umjesto toga, možete koristiti novi priključak za povezivanje.

Ako koristite SSH klijent ili Terminal na MAC-u, tada možete upotrijebiti -p za definiranje prilagođenog porta.

ssh -p 5000 [E zaštićeni]

Lako, zar ne?

Zaštita od brutalnih napada

Jedan od najčešćih mehanizama koji koristi a haker preuzeti kontrolu nad svojim internetskim poslovanjem pokretanjem grubih napada na poslužitelj i web platformu poput WordPressa, Joomla itd..

Ovo može biti opasno ako se ne shvati ozbiljno. Tamo su dva popularni programi koje možete koristiti za zaštitu Linuxa od grube sile.

SSH straža

SSHGuard nadzire pokrenute usluge iz datoteka dnevnika sustava i blokira ponovljene pokušaje loše prijave.

U početku je to bilo namijenjeno SSH zaštita za prijavu, ali sada podržava mnoge druge.

  • Čisti FTP, PRO FTP, VS FTP, FreeBSD FTP
  • Exim
  • Poslati mail
  • Golubinjak
  • Cucipop
  • UWimap

Možete dobiti SSHGuard instaliran sa sljedećim naredbama.

Ubuntu:

apt-get install SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

Fail2Ban

Fail2Ban je još jedan popularni program za zaštitu SSH. Fail2Ban automatski ažurira iptables pravilo ako neuspjeli pokušaj prijave dosegne definirani prag.

Da biste instalirali Fail2Ban u Ubuntu:

apt-get install fail2ban

i instalirati u CentOS:

yum instalirajte epel-release
yum instalirati fail2ban

SSH Guard i Fail2Ban trebaju biti dovoljni da zaštite SSH prijavu. Međutim, ako tada trebate istražiti više, pogledajte sljedeće.

Onemogući provjeru autentičnosti na temelju lozinke

Ako se na poslužitelj prijavite s jednog ili dva računala, tada možete koristiti SSH ključ na temelju provjere autentičnosti.

Međutim, ako imate više korisnika i često se prijavljujete s više javnih računala, svaki put biste mogli razmijeniti ključ.

Dakle, na osnovu situacije, ako odlučite onemogućiti provjeru autentičnosti na temelju lozinke, to možete učiniti na sljedeći način.

Bilješka: ovo pretpostavlja da ste već postavili SSH razmjenu ključeva.

  • Izmijenite / etc / ssh / sshd_config koristeći vi urednik
  • Dodajte sljedeći redak ili komentirajte ako postoji

PasswordAuthentication br

  • Učitajte SSH Daemon

Zaštita od DDoS napada

DDoS (distribuirano uskraćivanje usluge) može se dogoditi u bilo koji sloj, a ovo je posljednje što želite kao vlasnik tvrtke.

Moguće je pronaći izvorni IP, i kao najbolja praksa, ne biste trebali izlagati IP svog poslužitelja javnom Internetu. Postoji više načina za skrivanjePodrijetlo IP“Za sprečavanje DDoS-a na vašem oblaku / VPS poslužitelju.

Koristite balans za opterećenje (LB) – implementirati internetski balans za opterećenje, tako da IP poslužitelja nije izložen internetu. Mnogo je balansa za opterećenje koje možete izabrati – Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB itd..

Koristite CDN (mrežu za dostavu sadržaja) – CDN je jedan od sjajnih načina za poboljšanje performansi i sigurnosti web stranica.

Kada implementirate CDN, konfigurirate DNS zapis s anycast IP adresom koju pruža CDN davatelj. Radeći to, oglašavate CDN davatelja usluga za svoju domenu i podrijetlo nije izloženo.

Postoji mnogo pružatelja CDN-a za ubrzanje performansi web stranice, DDoS zaštita, WAF & mnoge druge značajke.

  • CloudFlare
  • StackPath
  • Sucuri
  • KeyCDN

Dakle, odaberite dobavljača CDN-a koji će pružati usluge & sigurnost oboje.

Promijenite postavke kernela & iptables – iptables možete koristiti za blokiranje sumnjivih zahtjeva, non-SYN, lažne TCP zastave, privatne podmreže i još mnogo toga.

Uz iptables, možete konfigurirati i postavke kernela. Javapipe objasnio sam dobro s uputama tako da ih ovdje ne bih duplicirao.

Koristite vatrozid – Ako priuštite zaštitni zid zasnovan na hardveru, onda je izvrstan u suprotnom softverski utemeljen vatrozid koji omogućuje iptables za zaštitu dolazne mrežne veze na VM.

Ima ih mnogo, ali jedan od najpopularnijih je izgubljene vode (Nekomplicirani vatrozid) za Ubuntu i FirewallD za CentOS.

Redovita izrada sigurnosnih kopija

Rezerva je vaš prijatelj! Kad ništa ne uspije, sigurnosna kopija će spasiti vas.

Stvari mogu ići pogrešno, ali što ako nemate potrebnu sigurnosnu kopiju za vraćanje? Većina pružatelja usluga oblaka ili VPS nudi sigurnosne kopije uz malo dodatnih troškova, a o tome uvijek treba razmisliti.

Provjerite kod svog dobavljača VPS-a kako omogućiti uslugu sigurnosne kopije. Znam da Linode i DO naplaćuju 20% cijene kapi za rezervnu kopiju.

Ako imate Google Compute Engine ili AWS, zakažite dnevni snimak.

Imati sigurnosnu kopiju brzo će vam to omogućiti vratiti cijelu VM, pa ste opet u poslu. Ili uz pomoć snimke možete klonirati VM.

Redovito ažuriranje

Ažuriranje VM OS-a jedan je od najvažnijih zadataka kako bi osigurali da vaš poslužitelj nije izložen nijednoj najnovije sigurnosne ranjivosti.

U Ubuntu, možete upotrijebiti apt-get update kako biste osigurali da su najnoviji paketi instalirani.

U CentOS-u možete koristiti yum update

Ne ostavljajte otvorene luke

Drugom riječju, dopustite samo potrebne priključke.

Zadržavanje neželjenih otvorenih portova poput napadača koji poziva da iskoriste prednost. Ako samo hostujete web mjesto na vašem VM-u, tada vam je najvjerojatnije potreban ili priključak 80 (HTTP) ili 443 (HTTPS).

Ako ste na AWS, tada možete stvoriti sigurnosnu skupinu koja će dopustiti samo tražene portove i pridružiti ih VM-u.

Ako ste na Google Cloudu, dopustite potrebne priključke pomoću “pravila vatrozida.”

A ako koristite VPS, primijenite osnovni skup pravila iptables kako je objašnjeno u Linode vodič.

Prethodno bi vam trebalo pomoći u očvršćivanju i sigurnom poslužitelju bolja zaštita od mrežnih prijetnji.

Alternativno, ako niste spremni upravljati svojim VM-om, možda biste radije Cloudways koji upravljaju s više oblačnih platformi. A ako posebno tražite premium WordPress hosting, onda ovaj.

OZNAKE:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map