Kako zavarovati in utrjevati oblak VM (Ubuntu in CentOS)?

Zaščita OS je enako pomembna kot vaše spletno mesto, spletne aplikacije, spletno poslovanje.


Za zaščito svojega spletnega mesta (Layer 7) boste morda porabili za varnostni vtičnik, WAF, varnost v oblaku, vendar lahko pustite OS neopažen nevarno.

Trend je zamenjati.

Splet se preseli v Cloud iz skupnega gostovanja zaradi več prednosti.

  • Hitrejši odzivni čas, ker virov ne deli noben drug uporabnik
  • Popoln nadzor na tehničnem paketu
  • Popoln nadzor nad operacijskim sistemom
  • Poceni

“Z veliko močjo pride velika odgovornost”

Dobiš višji nadzor pri gostovanju vašega spletnega mesta v oblaku VM, vendar je za upravljanje vašega VM potrebno malo spretnosti za sistemski administrator.

Ali si pripravljen zanjo?

Opomba: če niste pripravljeni vložiti svojega časa vanj, potem lahko izberete Cloudways ki upravljajo AWS, Google Cloud, Digital Ocean, Linode, Vultr & Kyup VM.

Pojdimo v praktični vodnik za zaščito Ubuntu in CentOS VM.

Spreminjanje privzetih vrat SSH

Privzeto daemon SSH posluša številka vrat 22. To pomeni, da lahko kdo poskusi vzpostaviti povezavo s svojim strežnikom.

Morda ne bodo mogli priti v strežnik, če ste zavarovani s kompleksnim geslom. Vendar pa lahko sprožijo brutalne napade, da motijo ​​delovanje strežnika.

Najboljše je, da spremenite vrata SSH v nekaj drugega, čeprav nekdo pozna IP, ga ni mogoče poskusiti povezave z uporabo privzetih vrat SSH.

Menjava vrat SSH v Ubuntu / CentOS je zelo enostavna.

  • Prijavite se v svoj VM s korenskim privilegijem
  • Vzemite varnostno kopijo sshd_config (/ etc / ssh / sshd_config)
  • Odprite datoteko z urejevalnikom VI

vi / etc / ssh / sshd_config

Poiščite vrstico, ki ima vrata 22 (običajno na začetku datoteke)

# Katera vrata, IP-je in protokole poslušamo
Pristanišče 22

  • Spremenite 22 v kakšno drugo številko (zagotovite, da spomni se saj boste to potrebovali za povezavo). Recimo 5000

Pristanišče 5000

  • Shranite datoteko in znova zaženite demon SSH

servis sshd znova zaženite

Zdaj se vi ali kdorkoli ne boste mogli povezati s svojim strežnikom prek privzetih vrat SSH. Namesto tega lahko za povezavo uporabite novo vrata.

Če uporabljate odjemalca SSH ali Terminal v MAC-u, potem lahko uporabite -p, da določite vrata po meri.

ssh -p 5000 [zaščitena e-pošta]

Preprosto, kajne?

Zaščita pred brutalnimi napadi

Eden od pogostih mehanizmov, ki jih uporablja a heker prevzeti nadzor nad svojim spletnim podjetjem je tako, da sproži brutalne napade na strežnik in spletno platformo, kot so WordPress, Joomla itd..

To je lahko nevarno če ga ne jemljemo resno. Obstajajo dva priljubljenih programov, ki jih lahko uporabite za zaščito Linuxa pred grobo silo.

SSH Guard

SSHGuard nadzoruje delujoče storitve iz datotek sistemskega dnevnika in blokira ponavljajoče se poskuse slabe prijave.

Sprva je bilo mišljeno za SSH prijava za zaščito, zdaj pa podpira številne druge.

  • Čisti FTP, PRO FTP, VS FTP, FreeBSD FTP
  • Exim
  • Pošlji pošto
  • Golobica
  • Cucipop
  • UWimap

SSHGuard lahko namestite z naslednjimi ukazi.

Ubuntu:

apt-get install SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

Fail2Ban

Fail2Ban je še en priljubljen program za zaščito SSH. Fail2Ban samodejno posodobi pravilo iptables, če neuspeli poskus prijave doseže določen prag.

Če želite namestiti Fail2Ban v Ubuntu:

apt-get namestite fail2ban

in namestiti v CentOS:

yum namestite epel-release
yum namestite fail2ban

SSH Guard in Fail2Ban morata zadostovati za zaščito prijave v SSH. Če pa morate potem raziskati več, se lahko obrnete na naslednje.

Onemogoči preverjanje pristnosti na podlagi gesla

Če se v strežnik prijavite iz enega ali dveh računalnikov, lahko uporabite SSH ključ temelji na preverjanju pristnosti.

Če pa imate več uporabnikov in se pogosto prijavite iz več javnih računalnikov, bo morda vsakič, ko izmenjate ključ, težavno.

Če torej izberete, da onemogočite overjanje na podlagi gesla, lahko to storite na naslednji način.

Opomba: to predvideva, da ste že nastavili izmenjavo ključev SSH.

  • Spremenite / etc / ssh / sshd_config z uporabo vi urednik
  • Dodajte naslednjo vrstico ali jo komentirajte, če obstaja

Št. Overjanja gesla št

  • Ponovno naloži Daemon SSH

Zaščita pred napadi DDoS

DDoS (distribuirano zanikanje storitve) se lahko zgodi na poljuben sloj, in to je zadnja stvar, ki si jo želite kot lastnik podjetja.

Iskanje izvornega IP-ja je možno in kot najboljša praksa ne bi smeli izpostavljati IP strežnika javnemu internetu. Obstaja več načinov, kako skriti “Izvor IP“, Da preprečite DDoS na vašem strežniku v oblaku / VPS.

Uporabite uravnotežilec obremenitve (LB) – uvedite internetni uravnotežilec obremenitve, tako da IP strežnika ni izpostavljen internetu. Izbirate lahko med številnimi izravnalniki obremenitev – Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB itd..

Uporabite CDN (omrežje za pošiljanje vsebine) – CDN je eden odličnih načinov za izboljšanje učinkovitosti in varnosti spletnih strani.

Ko implementirate CDN, konfigurirate DNS A zapis s anycast IP naslovom, ki ga je ponudnik CDN. S tem oglašujete IP ponudnika CDN za svojo domeno in izvor ni izpostavljen.

Obstaja veliko ponudnikov CDN, ki pospešujejo delovanje spletnega mesta, zaščito DDoS, WAF & številne druge funkcije.

  • Cloudflare
  • StackPath
  • SUCURI
  • KeyCDN

Zato izberite ponudnika CDN, ki je ponudnik uspešnosti & varnost oboje.

Spremenite nastavitve jedra & iptables – iptables lahko uporabite za blokiranje sumljivih zahtev, non-SYN, lažne TCP zastave, zasebnega podomrežja in še več.

Poleg iptables lahko nastavite tudi nastavitve jedra. Javapipe je dobro pojasnil z navodili, tako da tukaj ne bom podvajal.

Uporabite požarni zid – Če si privoščite strojno zasnovan požarni zid, potem je odličen, sicer boste morda želeli uporabiti programsko zasnovan požarni zid ki uporablja iptables za zaščito dohodne omrežne povezave z VM.

Veliko jih je, a ena najbolj priljubljenih je UFW (Nezapleten požarni zid) za Ubuntu in FirewallD za CentOS.

Redno varnostno kopiranje

Rezervni je vaš prijatelj! Ko nič ne deluje, bo varnostno kopiranje reševanje ti.

Stvari lahko gredo narobe, kaj pa, če nimate potrebne varnostne kopije za obnovitev? Večina ponudnikov oblakov ali VPS ponuja varnostno kopijo z nekaj doplačila in vedno je treba razmisliti.

Preverite pri ponudniku VPS, kako omogočiti varnostno kopiranje. Vem, da Linode in DO zaračunavajo 20% cene kapljic za varnostno kopijo.

Če uporabljate Google Compute Engine ali AWS, načrtujte dnevni posnetek.

Če imate varnostno kopijo, vam bo to hitro omogočilo obnoviti celoten VM, zato ste spet v poslu. Ali pa s pomočjo posnetka lahko klonirate VM.

Redna posodobitev

Posodobitev sistema VM OS je ena od bistvenih nalog, da vaš strežnik ni izpostavljen nobeni najnovejše varnostne ranljivosti.

V Ubuntu, lahko uporabite posodobitev apt-get, da zagotovite namestitev najnovejših paketov.

V CentOS-u lahko uporabite yum update

Ne puščajte odprtih vrat

Z drugo besedo, dovolite samo potrebna vrata.

Ohranjanje neželenih odprtih vrat kot vabljeni napadalec, da izkoristijo prednost. Če na vašem VM-ju le gostujete, potem najverjetneje potrebujete bodisi vrata 80 (HTTP) bodisi 443 (HTTPS).

Če ste na AWS, potem lahko ustvarite varnostno skupino, ki dovoli le zahtevana vrata in jih povežete z VM.

Če ste v Googlu Cloud, omogočite potrebna vrata s tipko »pravila požarnega zidu.”

In če uporabljate VPS, uporabite osnovno skupino pravil iptables, kot je razloženo v Linode vodnik.

Zgornje bi vam moralo pomagati pri utrjevanju in zavarovanju strežnika boljša zaščita pred spletnimi grožnjami.

Druga možnost je, če niste pripravljeni upravljati svojega VM-ja, potem morda raje Cloudways ki upravljajo več oblačnih platform. In če posebej iščete vrhunsko gostovanje WordPress-a, potem je to.

Oznake:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map