Защита ОС так же важна, как и ваш веб-сайт, веб-приложения, онлайн-бизнес..


Возможно, вы тратите деньги на плагин безопасности, WAF, облачную безопасность для защиты своего сайта (уровень 7), но оставление ОС без защиты может быть опасно.

Тенденция изменения.

Сеть переходит в облако с общего хостинга, что дает множество преимуществ.

  • Более быстрое время отклика, поскольку ресурсы не используются другими пользователями
  • Полный контроль над технологическим стеком
  • Полный контроль над операционной системой
  • Бюджетный

“С большой властью приходит большая ответственность”

Ты получаешь высший контроль в размещении вашего сайта на облачной виртуальной машине, но это требует немного навыков системного администратора для управления вашей виртуальной машиной.

Ты готов для этого?

Примечание: если вы не хотите тратить на это свое время, вы можете выбрать Cloudways кто управляет AWS, Google Cloud, Digital Ocean, Linode, Vultr & Кьюп В.М..

Давайте попадем в практическое руководство обезопасить Ubuntu и CentOS VM.

Изменение порта по умолчанию SSH

По умолчанию демон SSH прослушивает порт № 22. Это означает, что если кто-то обнаружит, что ваш IP может попытаться подключиться к вашему серверу.

Возможно, они не смогут попасть на сервер, если вы защищены сложным паролем. Однако они могут запускать атаки методом перебора, чтобы нарушить работу сервера..

Лучше всего изменить порт SSH на что-то другое, поэтому, даже если кто-то знает IP, они не могу подключиться используя порт SSH по умолчанию.

Изменить порт SSH в Ubuntu / CentOS очень просто.

  • Войдите в свою виртуальную машину с правами суперпользователя
  • Сделайте резервную копию sshd_config (/ etc / ssh / sshd_config)
  • Откройте файл с помощью редактора VI

vi / etc / ssh / sshd_config

Найдите строку с портом 22 (обычно в начале файла).

# Какие порты, IP-адреса и протоколы мы слушаем
Порт 22

  • Измените 22 на другой номер (убедитесь, что Помните так как вам нужно будет это подключить). Скажем 5000

Порт 5000

  • Сохраните файл и перезапустите демон SSH.

перезапуск службы sshd

Теперь вы или кто-либо другой не сможете подключиться к вашему серверу через порт SSH по умолчанию. Вместо этого вы можете использовать новый порт для подключения.

Если вы используете SSH-клиент или Терминал на MAC, вы можете использовать -p для определения пользовательского порта.

ssh -p 5000 [Электронная почта защищена]

Легко, не так ли?

Защита от атак грубой силы

Один из общих механизмов, используемых хакер взять под контроль свой онлайн-бизнес, начав атаки методом перебора на сервер и веб-платформу, такую ​​как WordPress, Joomla и т. д..

Это может быть опасно если не принимать всерьез. Есть два популярные программы, которые вы можете использовать для защиты Linux от перебора.

SSH Guard

SSHGuard отслеживает запущенные сервисы из файлов системного журнала и блокирует повторные неудачные попытки входа.

Первоначально, это было предназначено для SSH логин защита, но теперь он поддерживает много других.

  • Чистый FTP, PRO FTP, VS FTP, FreeBSD FTP
  • Exim
  • Отправить почту
  • голубятня
  • Cucipop
  • UWimap

Вы можете установить SSHGuard с помощью следующих команд.

Ubuntu:

apt-get установить SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

fail2ban

Fail2Ban – еще одна популярная программа для защиты SSH. Fail2Ban автоматически обновляет правило iptables, если неудачная попытка входа в систему достигает определенного порога.

Чтобы установить Fail2Ban в Ubuntu:

apt-get установить fail2ban

и установить в CentOS:

ням установить epel-release
ням установить fail2ban

SSH Guard и Fail2Ban должно быть достаточно для защиты входа SSH. Тем не менее, если вам нужно изучить больше, вы можете обратиться к следующему.

Отключить аутентификацию на основе пароля

Если вы заходите на сервер с одного или двух компьютеров, вы можете использовать Ключ SSH основанная аутентификация.

Однако, если у вас несколько пользователей и вы часто входите в систему с нескольких общедоступных компьютеров, обмен ключами может быть проблематичным каждый раз..

Поэтому в зависимости от ситуации, если вы решите отключить аутентификацию на основе пароля, вы можете сделать это следующим образом.

Замечания: это предполагает, что вы уже настроили обмен ключами SSH.

  • Измените / etc / ssh / sshd_config, используя VI редактор
  • Добавьте следующую строку или раскомментируйте ее, если она существует

ПарольАутентификация нет

  • Перезагрузите демон SSH

Защита от DDoS-атак

DDoS (распределенный отказ в обслуживании) может произойти в любой слой, и это последнее, что вы хотите, как владелец бизнеса.

Поиск исходного IP-адреса возможен, и в качестве наилучшей практики не следует раскрывать IP-адрес своего сервера общедоступному Интернету. Есть несколько способов скрытьПроисхождение IP”, Чтобы предотвратить DDoS на вашем облачном / VPS сервере.

Используйте балансировщик нагрузки (LB) – внедрить балансировщик нагрузки с выходом в Интернет, чтобы IP-адрес сервера не был подключен к Интернету. Существует множество балансировщиков нагрузки: Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB и т. Д..

Используйте CDN (сеть доставки контента) – CDN – один из лучших способов улучшить производительность и безопасность сайта.

При реализации CDN вы настраиваете запись DNS A с произвольным IP-адресом, предоставленным поставщиком CDN. Делая это, вы рекламируете IP провайдера CDN для своего домена и происхождение не разоблачено.

Есть много провайдеров CDN для ускорения работы сайта, защиты от DDoS, WAF & много других функций.

  • Cloudflare
  • StackPath
  • SUCURI
  • KeyCDN

Так что выбирайте провайдера CDN, который провайдера производительности & безопасность как.

Настроить настройки ядра & Iptables – вы можете использовать iptables для блокировки подозрительных запросов, не-SYN, поддельного TCP-флага, частной подсети и многого другого.

Наряду с iptables вы также можете настроить параметры ядра. Javapipe объяснил это хорошо с инструкциями, так что я не буду дублировать это здесь.

Используйте брандмауэр – Если вы предоставляете аппаратный брандмауэр, тогда отлично, в противном случае вы можете использовать программный брандмауэр который использует iptables для защиты входящего сетевого подключения к виртуальной машине.

Их много, но один из самых популярных UFW (Несложный брандмауэр) для Ubuntu а также FirewallD за CentOS.

Регулярное резервное копирование

Бэкап твой друг! Когда ничего не работает, резервная копия будет спасение вы.

Все может пойти неправильно, но что, если у вас нет необходимой резервной копии для восстановления? Большинство облачных или VPS-провайдеров предлагают резервное копирование за небольшую дополнительную плату, и всегда следует учитывать.

Узнайте у своего провайдера VPS, как включить службу резервного копирования. Я знаю, что Linode и DO взимают 20% от цены капли за резервную копию.

Если вы используете Google Compute Engine или AWS, запланируйте ежедневный снимок.

Наличие резервной копии быстро позволит вам восстановить всю ВМ, так что вы снова в деле. Или с помощью снимка, вы можете клонировать ВМ.

Регулярное обновление

Поддержание вашей виртуальной ОС в актуальном состоянии является одной из важных задач, чтобы ваш сервер не подвергался воздействию последние уязвимости безопасности.

В Ubuntu, вы можете использовать apt-get update, чтобы убедиться, что установлены последние пакеты.

В CentOS вы можете использовать yum update

Не покидайте открытые порты

Другими словами, разрешить только необходимые порты.

Сохранение нежелательных открытых портов, как приглашающий злоумышленник, чтобы воспользоваться. Если вы просто размещаете свой сайт на своей виртуальной машине, то, скорее всего, вам нужен порт 80 (HTTP) или 443 (HTTPS).

Если вы на AWS, затем вы можете создать группу безопасности, чтобы разрешить только необходимые порты и связать их с виртуальной машиной.

Если вы находитесь в Google Cloud, разрешите необходимые порты, используя «правила брандмауэра

А если вы используете VPS, тогда примените базовый набор правил iptables, как описано в Линодный гид.

Вышесказанное должно помочь вам в укреплении и защите вашего сервера для лучшая защита от интернет-угроз.

альтернативно, если вы не готовы управлять своей виртуальной машиной, вы можете предпочесть Cloudways кто управляет несколькими облачными платформами. И если вы специально ищете премиум-хостинг WordPress, то этот.

TAGS:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me