כיצד לאבטח ולהגן על ה- Cloud Cloud VM (Ubuntu & CentOS)?

אבטחת מערכת הפעלה חשובה לא פחות מהאתר שלך, יישומי אינטרנט, עסק מקוון.


יתכן שאתה מבזבז על תוסף אבטחה, WAF, אבטחה מבוססת ענן כדי להגן על האתר שלך (שכבה 7), אך השארת מערכת ההפעלה לא מקופלת יכולה להיות מסוכן.

המגמה היא משתנה.

האינטרנט עובר לענן מאירוח משותף לטובת מספר יתרונות.

  • זמן תגובה מהיר יותר כיוון שמשאבים אינם משותפים לשום משתמש אחר
  • שליטה מלאה בערימה טק
  • שליטה מלאה במערכת ההפעלה
  • זול

“בכוח גדול מגיע אחריות גדולה”

אתה מקבל שליטה גבוהה יותר באירוח האתר שלך ב- VM בענן, אך זה דורש מעט כישורי ניהול מערכת כדי לנהל את ה- VM שלך.

האם אתה מוכן בשביל זה?

הערה: אם אינך מוכן להשקיע את זמנך בזה אתה יכול לבחור דרכי ענן המנהלים AWS, Google Cloud, Ocean Ocean, Linode, Vultr & קיופ ו.מ..

בואו ניכנס ל מדריך מעשי כדי לאבטח את אובונטו ו- CentOS VM.

שינוי יציאת ברירת מחדל של SSH

כברירת מחדל, שדון SSH מקשיב יציאה מספר 22. פירוש הדבר שאם מישהו ימצא את ה- IP שלך יכול לנסות להתחבר לשרת שלך.

יתכן שהם לא יוכלו להיכנס לשרת אם אתה מאובטח עם סיסמה מורכבת. עם זאת, הם יכולים להפעיל התקפות כוח סוערות כדי להפריע לפעולת השרת.

הדבר הטוב ביותר הוא לשנות את יציאת ה- SSH למשהו אחר כך למרות שאם מישהו מכיר את ה- IP, הם לא יכול לנסות להתחבר באמצעות יציאת SSH ברירת מחדל.

שינוי יציאת SSH באובונטו / CentOS הוא קל מאוד.

  • התחבר ל- VM שלך עם הרשאת השורש
  • קח גיבוי של sshd_config (/ etc / ssh / sshd_config)
  • פתח את הקובץ באמצעות עורך VI

vi / etc / ssh / sshd_config

חפש שורה עם פורט 22 (בדרך כלל בתחילת הקובץ)

# אילו יציאות, IP ופרוטוקולים אנו מקשיבים
נמל 22

  • שנה 22 למספר אחר (ודא ל זכור כפי שתצטרך את זה כדי להתחבר). נניח 5000

נמל 5000

  • שמור את הקובץ והפעל מחדש את הדמון SSH

הפעלה מחדש של sshd – –

עכשיו אתה או מישהו לא תוכל להתחבר לשרת שלך באמצעות יציאת ברירת מחדל של SSH. במקום זאת, אתה יכול להשתמש ביציאה החדשה כדי להתחבר.

אם אתה משתמש בלקוח SSH או Terminal ב- MAC, אתה יכול להשתמש ב- p כדי להגדיר את היציאה המותאמת אישית.

ssh -p 5000 [מוגן בדוא”ל]

קל, לא??

הגנה מפני התקפות כוח אמיץ

אחד המנגנונים הנפוצים בהם משתמשת א האקר להשתלט על העסק המקוון שלך הוא על ידי פתיחת תקיפות כוח נגד השרת ופלטפורמת האינטרנט כמו וורדפרס, ג’ומלה וכו ‘..

זה יכול להיות מסוכן אם לא מתייחסים אליו ברצינות. יש שתיים תוכניות פופולריות בהן תוכלו להשתמש כדי להגן על לינוקס מפני כוח ברוט.

משמר SSH

SSHGuard מנטרת את השירותים המופעלים מקבצי יומן המערכת וחוסמת ניסיונות כניסה חוזרים ונשנים.

בתחילה זה נועד הגנת כניסה של SSH, אבל עכשיו זה תומך ברבים אחרים.

  • FTP טהור, FTP PRO, VS FTP, FreeBSD FTP
  • אקסים
  • שלח מייל
  • Dovecot
  • מלפפון
  • UWimap

אתה יכול להתקין את SSHGuard באמצעות הפקודות הבאות.

אובונטו:

מתאים להתקנת SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
סל”ד – נהוג sshguard-1.5-7.1.x86_64.rpm

Fail2Ban

Fail2Ban היא תוכנית פופולרית נוספת להגנה על SSH. Fail2Ban מעדכן אוטומטית את כלל ה- iptables אם ניסיון כניסה נכשל מגיע לסף שהוגדר.

להתקנת Fail2Ban באובונטו:

apt-get להתקין fail2ban

ולהתקין ב- CentOS:

יאם התקן שחרור אפל
התקן

שומר SSH ו- Fail2Ban צריכים להספיק כדי להגן על כניסה ל- SSH. עם זאת, אם אתה צריך לחקור יותר אז אתה יכול להתייחס לדברים הבאים.

השבת אימות מבוסס סיסמה

אם אתה מתחבר לשרת שלך ממחשב אחד או שניים, אתה יכול להשתמש מפתח SSH אימות מבוסס.

עם זאת, אם יש לך מספר משתמשים ולעתים קרובות אתה מתחבר ממחשבים ציבוריים מרובים אז, זה עלול להיות בעייתי להחליף מפתח בכל פעם.

אז בהתבסס על המצב, אם תבחר לבטל אימות מבוסס סיסמה, אתה יכול לעשות זאת כדלקמן.

פתק: זה מניח שכבר הגדרת החלפת מפתחות SSH.

  • שנה / etc / ssh / sshd_config באמצעות vi עורך
  • הוסף את השורה הבאה או בטל את הסימון שלה אם קיים

אימות סיסמא

  • טען מחדש את הדמון SSH

הגנה מפני התקפות DDoS

DDoS (מניעת שירות מופץ) יכול להתרחש בשעה כל שכבה, וזה הדבר האחרון שאתה רוצה כבעל עסק.

מציאת ה- IP של המקור אפשרי, וכאמצעות שיטות עבודה מומלצות, אסור לחשוף את ה- IP של השרת שלך לאינטרנט הציבורי. ישנן מספר דרכים להסתיר את “מקור IP“כדי למנוע את ה- DDoS בשרת הענן / VPS שלך.

השתמש במאזן עומס (LB) – הטמעת איזון עומסים הפונה לאינטרנט, כך ש- IP של השרת לא ייחשף לאינטרנט. יש הרבה מאזני עומס שתוכלו לבחור בהם – Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB וכו ‘..

השתמש ב- CDN (רשת למשלוח תוכן) – CDN היא אחת הדרכים הנהדרות לשיפור ביצועי האתר ואבטחתו.

כאשר אתה מיישם CDN, אתה מגדיר רשומת DNS עם כתובת ה- IP המשודרת המסופקת על ידי ספק ה- CDN. בכך אתה מפרסם IP של ספק CDN לדומיין שלך המקור אינו חשוף.

יש ספקים רבים ב- CDN שמאיצים את ביצועי האתר, הגנת DDoS, WAF & תכונות רבות אחרות.

  • פרח ענן
  • StackPath
  • סוקורי
  • KeyCDN

אז בחר ספק ה- CDN שמספק ביצועים & שניהם ביטחון.

לצבוט את הגדרות הליבה & iptables – אתה יכול למנף iptables כדי לחסום בקשות חשודות, לא SYN, דגל TCP מזויף, רשת משנה פרטית ועוד.

יחד עם iptables, באפשרותך גם להגדיר את הגדרות הגרעין. ג’אוופה הסביר זאת היטב עם ההוראות כך שלא אכפיל אותו כאן.

השתמש בחומת אש – אם יש לך חומת אש מבוססת חומרה אז מצוין אחרת אולי תרצה להשתמש ב חומת אש מבוססת תוכנה שממנף iptables כדי להגן על חיבור הרשת הנכנס ל- VM.

ישנם רבים, אך אחד הפופולריים ביותר הוא UFW (חומת אש לא מסובכת) עבור אובונטו ו חומת אש ל CentOS.

גיבוי רגיל

גיבוי הוא חבר שלך! כאשר שום דבר לא עובד אז הגיבוי יהיה הצלה אתה.

דברים יכולים ללכת לא בסדר, אבל מה אם אין לך הגיבוי הדרוש לשחזור? מרבית ספקי הענן או VPS מציעים גיבוי בתוספת תשלום מעטה ויש לקחת בחשבון תמיד.

בדוק עם ספק ה- VPS שלך כיצד להפעיל שירות גיבוי. אני מכיר את Linode ו- DO גובים 20% מתמחור הטיפות בגיבוי.

אם אתה משתמש ב- Google Compute Engine או ב- AWS, קבע את תמונתך היומית.

ביצוע גיבוי יאפשר לך לעשות זאת במהירות שחזר את כל ה- VM, אז אתה שוב בעסק. או בעזרת תמונת מצב, תוכלו לשכפל את ה- VM.

עדכון קבוע

שמירה על עדכון מעודכן של מערכת ההפעלה VM שלך היא אחת המשימות החיוניות כדי להבטיח שהשרת שלך לא ייחשף לאף אחד פגיעויות אבטחה אחרונות.

בתוך אובונטו, אתה יכול להשתמש בעדכון apt-get כדי להבטיח שהחבילות האחרונות יתקנו.

ב- CentOS אתה יכול להשתמש בעדכון יאם

אל תשאיר יציאות פתוחות

במילה אחרת, אפשרו ליציאות הדרושות בלבד.

שמירה על יציאות פתוחות לא רצויות כמו תוקף מזמין לנצל. אם אתה פשוט מארח את האתר שלך ב- VM שלך, סביר להניח שאתה זקוק ליציאה 80 (HTTP) או 443 (HTTPS).

אם אתה פעיל AWS, אז אתה יכול ליצור את קבוצת האבטחה שתאפשר רק את היציאות הנדרשות ולשייך אותם ל- VM.

אם אתה נמצא ב- Google Cloud, הרשה את היציאות הדרושות באמצעות “חוקים על חומת האש.”

ואם אתה משתמש ב- VPS, החל סט ערכת כללים בסיסיים של iptables כמוסבר ב מדריך לינוד.

האמור לעיל אמור לעזור לך להתקשות ולאבטח את השרת שלך עבור הגנה טובה יותר מפני איומים ברשת.

לחלופין, אם אינך מוכן לנהל את ה- VM שלך, ייתכן שתעדיף דרכי ענן המנהלים פלטפורמות ענן מרובות. ואם אתם מחפשים ספציפית אירוח וורדפרס מובחר אז זה.

תגיות:

  • לינוקס

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map