วิธีการรักษาความปลอดภัยและ Harden Cloud VM (Ubuntu & CentOS)

การรักษาความปลอดภัยระบบปฏิบัติการมีความสำคัญเท่ากับเว็บไซต์แอปพลิเคชันเว็บธุรกิจออนไลน์ของคุณ.


คุณอาจจะใช้จ่ายกับปลั๊กอินความปลอดภัย, WAF, การรักษาความปลอดภัยบนคลาวด์เพื่อปกป้องไซต์ของคุณ (เลเยอร์ 7) แต่การออกจากระบบปฏิบัติการที่ไม่สามารถทำได้ เป็นอันตราย.

แนวโน้มคือ เปลี่ยนแปลง.

เว็บกำลังย้ายไปที่ Cloud จากโฮสติ้งที่ใช้ร่วมกันเพื่อประโยชน์หลายประการ.

  • เวลาตอบสนองที่รวดเร็วขึ้นเนื่องจากทรัพยากรไม่ได้ถูกแบ่งปันโดยผู้ใช้รายอื่น
  • การควบคุมเต็มรูปแบบในกองเทคโนโลยี
  • ควบคุมระบบปฏิบัติการได้อย่างสมบูรณ์
  • ราคาถูก

“ พลังอันยิ่งใหญ่มาพร้อมความรับผิดชอบที่ยิ่งใหญ่”

คุณได้รับ การควบคุมที่สูงขึ้น ในการโฮสต์เว็บไซต์ของคุณบน cloud VM แต่ต้องใช้ทักษะ System Admin เล็กน้อยในการจัดการ VM ของคุณ.

คุณคือ พร้อมแล้ว สำหรับมัน?

หมายเหตุ: หากไม่เต็มใจที่จะลงทุนเวลาของคุณคุณสามารถเลือกได้ Cloudways ผู้ที่จัดการ AWS, Google Cloud, Digital Ocean, Linode, Vultr & Kyup VM.

มาเข้ากัน คู่มือปฏิบัติ เพื่อรักษาความปลอดภัย Ubuntu และ CentOS VM.

การเปลี่ยนพอร์ตเริ่มต้นของ SSH

โดยค่าเริ่มต้น SSH daemon จะฟัง หมายเลขพอร์ต 22. ซึ่งหมายความว่าหากใครพบว่า IP ของคุณสามารถพยายามเชื่อมต่อกับเซิร์ฟเวอร์ของคุณ.

พวกเขาอาจไม่สามารถเข้าสู่เซิร์ฟเวอร์ได้หากคุณมีรหัสผ่านที่ซับซ้อน อย่างไรก็ตามพวกเขาสามารถเปิดการโจมตีแบบเดรัจฉานเพื่อรบกวนการทำงานของเซิร์ฟเวอร์.

สิ่งที่ดีที่สุดคือการเปลี่ยนพอร์ต SSH เป็นอย่างอื่นดังนั้นแม้ว่าจะมีคนรู้จัก IP พวกเขา ไม่สามารถเชื่อมต่อได้ ใช้พอร์ต SSH เริ่มต้น.

การเปลี่ยนพอร์ต SSH ใน Ubuntu / CentOS นั้นง่ายมาก.

  • เข้าสู่ระบบ VM ของคุณด้วยสิทธิ์พิเศษ
  • ทำการสำรองข้อมูลของ sshd_config (/ etc / ssh / sshd_config)
  • เปิดไฟล์โดยใช้เครื่องมือแก้ไข VI

vi / etc / ssh / sshd_config

ค้นหาบรรทัดที่มีพอร์ต 22 (มักจะเป็นจุดเริ่มต้นของไฟล์)

# พอร์ตอะไร IP และโปรโตคอลที่เรารับฟัง
พอร์ต 22

  • เปลี่ยน 22 เป็นหมายเลขอื่น (ให้แน่ใจว่าเป็น จำ ตามที่คุณจะต้องเชื่อมต่อ) สมมติว่า 5,000

พอร์ต 5000

  • บันทึกไฟล์และรีสตาร์ท SSH daemon

บริการ sshd รีสตาร์ท

ตอนนี้คุณหรือใครก็ตามจะไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ของคุณโดยใช้พอร์ตเริ่มต้นของ SSH คุณสามารถใช้พอร์ตใหม่เพื่อเชื่อมต่อแทน.

หากใช้ไคลเอ็นต์ SSH หรือ Terminal บน MAC คุณสามารถใช้ -p เพื่อกำหนดพอร์ตแบบกำหนดเอง.

ssh -p 5000 [email protected]

ง่าย, ไม่ได้?

การปกป้องจากการโจมตีของ Brute Force

หนึ่งในกลไกทั่วไปที่ใช้โดย แฮ็กเกอร์ การควบคุมธุรกิจออนไลน์ของคุณคือการเริ่มต้นการโจมตีอย่างดุเดือดต่อเซิร์ฟเวอร์และแพลตฟอร์มเว็บเช่น WordPress, Joomla และอื่น ๆ.

สิ่งนี้สามารถ เป็นอันตราย ถ้าไม่จริงจัง มี สอง โปรแกรมยอดนิยมที่คุณสามารถใช้เพื่อปกป้อง Linux จากแรงเดรัจฉาน.

SSH Guard

SSHGuard ตรวจสอบบริการที่ทำงานอยู่จากไฟล์บันทึกของระบบและบล็อกการพยายามล็อกอินที่ไม่ดีซ้ำ ๆ.

เริ่มแรกมันมีไว้สำหรับ การป้องกันการเข้าสู่ระบบ SSH, แต่ตอนนี้มันรองรับอื่น ๆ อีกมากมาย.

  • Pure FTP, PRO FTP, VS FTP, FreeBSD FTP
  • เอ็กซิม
  • ส่งอีเมล์
  • Dovecot
  • Cucipop
  • UWimap

คุณสามารถติดตั้ง SSHGuard ด้วยคำสั่งต่อไปนี้.

อูบุนตู:

apt-get install SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
รอบต่อนาที -ivh sshguard-1.5-7.1.x86_64.rpm

fail2ban

Fail2Ban เป็นอีกหนึ่งโปรแกรมยอดนิยมในการปกป้อง SSH Fail2Ban อัปเดตกฎ iptables โดยอัตโนมัติหากความพยายามในการเข้าสู่ระบบล้มเหลวถึงเกณฑ์ที่กำหนด.

ในการติดตั้ง Fail2Ban ใน Ubuntu:

apt-get install fail2ban

และติดตั้งใน CentOS:

ยำติดตั้ง epel-release
yum ติดตั้ง fail2ban

SSH Guard และ Fail2Ban ควรเพียงพอที่จะป้องกันการเข้าสู่ระบบ SSH อย่างไรก็ตามหากคุณจำเป็นต้องสำรวจเพิ่มเติมคุณอาจอ้างอิงถึงสิ่งต่อไปนี้.

ปิดใช้งานการรับรองความถูกต้องด้วยรหัสผ่าน

หากคุณเข้าสู่เซิร์ฟเวอร์ของคุณจากคอมพิวเตอร์หนึ่งหรือสองเครื่องคุณสามารถใช้งานได้ คีย์ SSH การรับรองความถูกต้องตาม.

อย่างไรก็ตามหากคุณมีผู้ใช้หลายคนและบ่อยครั้งที่ล็อกอินจากคอมพิวเตอร์สาธารณะหลายเครื่องอาจเป็นการยากที่จะแลกเปลี่ยนกุญแจทุกครั้ง.

ดังนั้นตามสถานการณ์หากคุณเลือกที่จะปิดใช้งานการพิสูจน์ตัวตนด้วยรหัสผ่านคุณสามารถทำได้ดังต่อไปนี้.

บันทึก: สมมติว่าคุณได้ตั้งค่าการแลกเปลี่ยนคีย์ SSH แล้ว.

  • แก้ไข / etc / ssh / sshd_config โดยใช้ vi บรรณาธิการ
  • เพิ่มบรรทัดต่อไปนี้หรือยกเลิกหมายเหตุถ้ามีอยู่

รหัสผ่านการตรวจสอบหมายเลข

  • โหลด SSH Daemon

การป้องกันจากการโจมตี DDoS

DDoS (การปฏิเสธการให้บริการแบบกระจาย) สามารถเกิดขึ้นได้ที่ ชั้นใด ๆ, และนี่คือสิ่งสุดท้ายที่คุณต้องการในฐานะเจ้าของธุรกิจ.

การค้นหา IP ต้นทางเป็นไปได้และเป็นแนวทางปฏิบัติที่ดีที่สุดคุณไม่ควรเปิดเผย IP เซิร์ฟเวอร์ของคุณต่ออินเทอร์เน็ตสาธารณะ มีหลายวิธีในการซ่อน“IP ต้นทาง” เพื่อป้องกัน DDoS บนเซิร์ฟเวอร์ cloud / VPS ของคุณ.

ใช้ตัวโหลดบาลานซ์ (LB) – ใช้ load balancer ที่เข้ากับอินเทอร์เน็ตดังนั้น IP ของเซิร์ฟเวอร์จึงไม่ถูกเปิดเผยต่ออินเทอร์เน็ต มีตัวโหลดบาลานซ์มากมายที่คุณสามารถเลือกได้ – Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB, ฯลฯ.

ใช้ CDN (เครือข่ายการจัดส่งเนื้อหา) – CDN เป็นหนึ่งในวิธีที่ยอดเยี่ยมในการปรับปรุงประสิทธิภาพและความปลอดภัยของเว็บไซต์.

เมื่อคุณใช้ CDN คุณจะกำหนดค่าระเบียน DNS A ด้วยที่อยู่ IP anycast ที่จัดทำโดยผู้ให้บริการ CDN ด้วยการทำเช่นนี้คุณกำลังโฆษณา IP ผู้ให้บริการ CDN สำหรับโดเมนของคุณและ ต้นกำเนิดไม่ได้สัมผัส.

มีผู้ให้บริการ CDN จำนวนมากเพื่อเร่งประสิทธิภาพของเว็บไซต์การป้องกัน DDoS, WAF & คุณสมบัติอื่น ๆ.

  • Cloudflare
  • StackPath
  • Sucuri
  • KeyCDN

ดังนั้นเลือกผู้ให้บริการ CDN ผู้ให้บริการประสิทธิภาพ & ความปลอดภัยทั้งสอง.

ปรับแต่งการตั้งค่าเคอร์เนล & iptables – คุณสามารถใช้ iptables เพื่อป้องกันการร้องขอที่น่าสงสัย, ไม่ใช่ SYN, การตั้งค่าสถานะ TCP ปลอม, ซับเน็ตส่วนตัวและอีกมากมาย.

นอกจาก iptables แล้วคุณยังสามารถกำหนดการตั้งค่าเคอร์เนลได้อีกด้วย. Javapipe อธิบายได้ดีกับคำแนะนำเพื่อที่ฉันจะไม่ทำซ้ำที่นี่.

ใช้ไฟร์วอลล์ – หากคุณซื้อไฟร์วอลล์ที่ใช้ฮาร์ดแวร์ได้ดีเยี่ยมมิฉะนั้นคุณอาจต้องการใช้ ไฟร์วอลล์ที่ใช้ซอฟต์แวร์ ที่ใช้ประโยชน์จาก iptables เพื่อป้องกันการเชื่อมต่อเครือข่ายขาเข้ากับ VM.

มีมากมาย แต่หนึ่งในสิ่งที่ได้รับความนิยมมากที่สุดคือ UFW (ไฟร์วอลล์ที่ไม่ซับซ้อน) สำหรับ อูบุนตู และ FirewallD สำหรับ CentOS.

สำรองข้อมูลปกติ

สำรองข้อมูลเป็นเพื่อนของคุณ! เมื่อไม่มีอะไรทำงานแล้วการสำรองข้อมูลจะ กู้ภัย คุณ.

สิ่งที่สามารถไป ไม่ถูกต้อง, แต่ถ้าคุณไม่มีข้อมูลสำรองที่จำเป็นในการกู้คืน ผู้ให้บริการคลาวด์หรือ VPS ส่วนใหญ่เสนอการสำรองข้อมูลโดยมีค่าใช้จ่ายเพิ่มเติมเล็กน้อยและผู้ใช้ควรพิจารณาเสมอ.

ตรวจสอบกับผู้ให้บริการ VPS ของคุณเกี่ยวกับวิธีเปิดใช้งานบริการสำรองข้อมูล ฉันรู้ว่า Linode และคิดค่าธรรมเนียม 20% ของการกำหนดราคาหยดสำหรับการสำรองข้อมูล.

หากคุณอยู่ใน Google Compute Engine หรือ AWS ให้กำหนดเวลาสแนปชอตรายวัน.

มีการสำรองข้อมูลจะช่วยให้คุณได้อย่างรวดเร็ว กู้คืน VM ทั้งหมด, ดังนั้นคุณจะกลับมาทำธุรกิจ หรือด้วยความช่วยเหลือของภาพรวมคุณสามารถโคลน VM.

อัพเดทปกติ

การปรับปรุง VM OS ของคุณให้ทันสมัยอยู่เสมอเป็นหนึ่งในภารกิจที่สำคัญเพื่อให้แน่ใจว่าเซิร์ฟเวอร์ของคุณจะไม่ถูกเปิดเผยใด ๆ ช่องโหว่ความปลอดภัยล่าสุด.

ใน อูบุนตู, คุณสามารถใช้การปรับปรุง apt-get เพื่อให้แน่ใจว่ามีการติดตั้งแพ็คเกจล่าสุด.

ใน CentOS คุณสามารถใช้ yum update

อย่าออกจากพอร์ตที่เปิดอยู่

กล่าวอีกนัยหนึ่งอนุญาตให้พอร์ตที่จำเป็นเท่านั้น.

การรักษาพอร์ตเปิดที่ไม่ต้องการเช่นผู้โจมตีเชิญเพื่อใช้ประโยชน์ หากคุณเพิ่งโฮสต์เว็บไซต์ของคุณบน VM ของคุณเป็นไปได้ว่าคุณต้องการพอร์ต 80 (HTTP) หรือ 443 (HTTPS).

ถ้าคุณอยู่ใน AWS, จากนั้นคุณสามารถสร้างกลุ่มความปลอดภัยเพื่ออนุญาตเฉพาะพอร์ตที่จำเป็นและเชื่อมโยงกับ VM.

หากคุณอยู่บน Google Cloud ให้อนุญาตพอร์ตที่จำเป็นโดยใช้“กฎไฟร์วอลล์.”

และถ้าคุณใช้ VPS ให้ใช้กฎชุด iptables ขั้นพื้นฐานตามที่อธิบายไว้ คู่มือ Linode.

ข้างต้นจะช่วยคุณในการทำให้มั่นคงและปลอดภัยสำหรับเซิร์ฟเวอร์ของคุณ การป้องกันที่ดีขึ้นจากภัยคุกคามออนไลน์.

อีกทางเลือกหนึ่ง, หากคุณยังไม่พร้อมที่จะจัดการ VM ของคุณคุณอาจต้องการ Cloudways ใครเป็นผู้จัดการหลายแพลตฟอร์มคลาวด์ และถ้าคุณกำลังมองหา WordPress โฮสติ้งพรีเมี่ยมโดยเฉพาะแล้วอันนี้.

Tags:

  • ลินุกซ์

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map