Ako zaistiť a spevniť cloud VM (Ubuntu a CentOS)?

Zabezpečenie operačného systému je rovnako dôležité ako vaše webové stránky, webové aplikácie, online obchod.


Môžete utrácať za bezpečnostný doplnok, WAF, za zabezpečenie cloudu na ochranu svojich stránok (vrstva 7), ale ponechanie OS bez tvrdenia môže byť nebezpečný.

Trend je meniace sa.

Web prechádza z cloudu zo zdieľaného hostenia na viacero výhod.

  • Rýchlejší čas odozvy, pretože prostriedky nezdieľa iný používateľ
  • Plná kontrola nad technickým zásobníkom
  • Plná kontrola nad operačným systémom
  • Nízke náklady

“S veľkou mocou prichádza veľká zodpovednosť”

Dostanete vyššia kontrola pri hosťovaní vašich webových stránok v cloude VM, ale na spravovanie vášho VM je potrebné trochu zručnosti systémového administrátora.

Si ty? pripravený pre to?

Poznámka: Ak do nej nechcete investovať svoj čas, môžete si vybrať Cloudways ktorí spravujú AWS, Google Cloud, Digital Ocean, Linode, Vultr & Kyup VM.

Poďme sa dostať do praktický sprievodca na zabezpečenie Ubuntu a CentOS VM.

Zmena predvoleného portu SSH

V predvolenom nastavení démon SSH počúva číslo portu 22. To znamená, že ak niekto nájde vašu IP, môže sa pokúsiť o pripojenie k vášmu serveru.

Možno sa nebudú môcť dostať na server, ak ste si zabezpečili zložité heslo. Môžu však spustiť útoky hrubou silou, aby narušili fungovanie servera.

Najlepšie je zmeniť port SSH na niečo iné, takže aj keď niekto pozná IP, je to tak sa nemôže pokúsiť pripojiť pomocou predvoleného portu SSH.

Zmena portu SSH v Ubuntu / CentOS je veľmi jednoduchá.

  • Prihláste sa do svojho VM s oprávnením root
  • Vytvorte zálohu sshd_config (/ etc / ssh / sshd_config)
  • Otvorte súbor pomocou editora VI

vi / etc / ssh / sshd_config

Vyhľadajte riadok, ktorý má port 22 (zvyčajne na začiatku súboru)

# Aké porty, IP a protokoly počúvame
Port 22

  • Zmeňte 22 na iné číslo (ubezpečte sa, že pamätať ako budete potrebovať na pripojenie). Povedzme 5 000

Port 5000

  • Uložte súbor a reštartujte démona SSH

služba sshd reštartovať

Teraz sa vy alebo ktokoľvek nebudete môcť pripojiť k serveru pomocou predvoleného portu SSH. Namiesto toho môžete na pripojenie použiť nový port.

Ak používate klienta SSH alebo terminál v systéme MAC, môžete na definovanie vlastného portu použiť -p.

ssh -p 5000 [Email protected]

jednoduchý, nie je to tak?

Ochrana pred útokmi hrubou silou

Jeden z bežných mechanizmov používaných a průnikář prevziať kontrolu nad online obchodom je začatím útokov hrubou silou proti serveru a webovej platforme ako WordPress, Joomla atď..

To môže byť nebezpečný ak sa nebudú brať vážne. Existujú dva populárne programy, ktoré môžete použiť na ochranu Linuxu pred hrubou silou.

Guard SSH

SSHGuard monitoruje spustené služby zo súborov systémového denníka a blokuje opakované zlé pokusy o prihlásenie.

Spočiatku to bolo určené Ochrana prihlásenia SSH, ale teraz podporuje mnoho ďalších.

  • Čisté FTP, PRO FTP, VS FTP, FreeBSD FTP
  • Exim
  • Poslať mail
  • holubník
  • Cucipop
  • UWimap

Inštaláciu SSHGuard môžete získať pomocou nasledujúcich príkazov.

ubuntu:

apt-get install SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

fail2ban

Fail2Ban je ďalší populárny program na ochranu SSH. Fail2Ban automaticky aktualizuje pravidlo iptables, ak neúspešný pokus o prihlásenie dosiahne definovanú prahovú hodnotu.

Inštalácia Fail2Ban v Ubuntu:

apt-get install fail2ban

a nainštalovať do CentOS:

yum install epel-release
yum install fail2ban

Guard SSH a Fail2Ban by mali stačiť na ochranu prihlásenia SSH. Ak však potrebujete preskúmať viac, môžete odkázať na nasledujúce.

Zakázať overovanie založené na hesle

Ak sa na server prihlasujete z jedného alebo dvoch počítačov, môžete ich použiť Kľúč SSH založené overovanie.

Ak však máte viacerých používateľov a často sa prihlasujete z viacerých verejných počítačov, výmena kľúča môže byť niekedy problematická.

Takže v závislosti od situácie, ak sa rozhodnete zakázať overovanie založené na hesle, môžete to urobiť nasledujúcim spôsobom.

Poznámka: predpokladá sa, že ste už nastavili výmenu kľúčov SSH.

  • Upravte súbor / etc / ssh / sshd_config pomocou vi editor
  • Pridajte nasledujúci riadok alebo ho odškrtnite, ak existuje

HesloAententifikácia č

  • Znovu načítajte démona SSH

Ochrana pred útokmi DDoS

DDoS (Distributed Denial of Service) sa môže vyskytnúť na adrese akúkoľvek vrstvu, a toto je posledná vec, ktorú chcete ako vlastník firmy.

Nájdenie pôvodnej adresy IP je možné a ako najlepšia prax by ste nemali vystavovať adresu IP servera verejnému internetu. Existuje niekoľko spôsobov, ako skryť „Pôvodná IP“, Aby ste zabránili DDoS na vašom cloud / VPS serveri.

Použite vyrovnávač záťaže (LB) – implementovať vyrovnávač zaťaženia smerujúci k internetu, aby IP servera nebol vystavený internetu. Existuje mnoho vyvažovačov záťaže, z ktorých si môžete vybrať – Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB atď..

Použite sieť CDN (Network Delivery Network) – CDN je jedným z vynikajúcich spôsobov, ako zlepšiť výkon a bezpečnosť webových stránok.

Keď implementujete CDN, nakonfigurujete záznam DNS A s anycast IP adresou poskytnutou poskytovateľom CDN. Týmto inzerujete adresu IP poskytovateľa CDN pre svoju doménu a pôvod nie je vystavený.

Existuje mnoho poskytovateľov CDN na urýchlenie výkonu webových stránok, ochrany DDoS, WAF & mnoho ďalších funkcií.

  • CloudFlare
  • StackPath
  • Šučur
  • KeyCDN

Vyberte si poskytovateľa CDN, ktorý poskytuje výkon & bezpečnosť oboch.

Vylepšite nastavenia jadra & iptables – môžete využiť iptables na blokovanie podozrivých požiadaviek, non-SYN, falošných príznakov TCP, súkromných podsietí a ďalších.

Spolu s iptables môžete tiež nakonfigurovať nastavenia jadra. Javapipe Používateľ to vysvetlil dobre pomocou pokynov, aby som ho tu neduplikoval.

Použite bránu firewall – Ak si dovolíte hardvérový firewall, potom je vynikajúce, že budete chcieť použiť a softvérový firewall ktorý využíva iptables na ochranu prichádzajúceho sieťového pripojenia k VM.

Je ich veľa, ale jedným z najpopulárnejších je UFW (Nekomplikovaný firewall) pre ubuntu a FirewallD pre CentOS.

Pravidelné zálohovanie

Zálohovanie je váš priateľ! Ak nič nefunguje, záloha bude záchrana vy.

Veci môžu ísť zle, ale čo ak nemáte potrebnú zálohu na obnovenie? Väčšina poskytovateľov cloudu alebo VPS ponúka zálohovanie za malý príplatok a mali by ste ho vždy zvážiť.

Obráťte sa na svojho poskytovateľa VPS, ako povoliť službu zálohovania. Poznám Linode a účtujem 20% ceny kvapiek za zálohu.

Ak používate službu Google Compute Engine alebo AWS, naplánujte si dennú snímku.

Zálohovanie vám to umožní rýchlo obnoviť celý VM, takže ste späť v podnikaní. Alebo pomocou snímky môžete VM naklonovať.

Pravidelná aktualizácia

Udržiavanie vášho VM OS aktuálnym je jednou zo základných úloh, aby ste zabezpečili, že váš server nebude vystavený žiadnym najnovšie bezpečnostné chyby.

v ubuntu, môžete použiť aktualizáciu apt-get, aby ste sa uistili, že sú nainštalované najnovšie balíčky.

V systéme CentOS môžete použiť aktualizáciu yum

Nenechávajte otvorené porty

Inými slovami povoľte iba potrebné porty.

Udržiavanie nechcených otvorených portov ako pozývajúci útočník. Ak práve hosťujete svoje webové stránky vo svojom virtuálnom počítači, pravdepodobne budete potrebovať port 80 (HTTP) alebo 443 (HTTPS)..

Ak ste na AWS, potom môžete vytvoriť skupinu zabezpečenia, ktorá povoľuje iba požadované porty a priradí ich k VM.

Ak používate službu Google Cloud, povoľte potrebné porty pomocou „pravidlá brány firewall.”

A ak používate VPS, potom použite základné pravidlá iptables, ako je vysvetlené v Linode sprievodca.

Vyššie uvedené by vám malo pomôcť pri spevňovaní a zabezpečení servera lepšia ochrana pred online hrozbami.

alternatívne, Ak nie ste pripravení spravovať svoj VM, môžete dať prednosť Cloudways ktorí spravujú viac cloudových platforiem. A ak konkrétne hľadáte prémiový hosting WordPress, potom tento.

Tagy:

  • linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map