Làm cách nào để bảo mật và bảo vệ VM đám mây (Ubuntu & CentOS)?

Bảo mật HĐH cũng quan trọng như trang web, ứng dụng web, kinh doanh trực tuyến của bạn.


Bạn có thể chi tiêu cho plugin bảo mật, WAF, bảo mật dựa trên đám mây để bảo vệ trang web của bạn (Lớp 7) nhưng để hệ điều hành không được bảo vệ có thể nguy hiểm.

Xu hướng là thay đổi.

Web đang chuyển sang Cloud từ lưu trữ chia sẻ để có nhiều lợi thế.

  • Thời gian phản hồi nhanh hơn vì tài nguyên không được chia sẻ bởi bất kỳ người dùng nào khác
  • Kiểm soát hoàn toàn trên ngăn xếp công nghệ
  • Kiểm soát hoàn toàn hệ điều hành
  • Giá thấp

“Với sức mạnh lớn đến trách nhiệm lớn”

Bạn lấy kiểm soát cao hơn trong việc lưu trữ trang web của bạn trên VM đám mây, nhưng điều đó đòi hỏi một chút kỹ năng Quản trị hệ thống để quản lý VM của bạn.

Bạn có phải Sẵn sàng cho nó?

Lưu ý: nếu không sẵn sàng đầu tư thời gian của bạn vào đó thì bạn có thể chọn Đám mây người quản lý AWS, Google Cloud, Digital Ocean, Linode, Vultr & Máy ảo.

Hãy để Lừa vào một Hướng dẫn thực hành để bảo mật Ubuntu và CentOS VM.

Thay đổi cổng mặc định SSH

Theo mặc định, SSH daemon lắng nghe số cổng 22. Điều này có nghĩa là nếu bất cứ ai tìm thấy IP của bạn có thể cố gắng kết nối với máy chủ của bạn.

Họ có thể không vào được máy chủ nếu bạn đã bảo mật bằng mật khẩu phức tạp. Tuy nhiên, họ có thể khởi động các cuộc tấn công vũ phu để làm xáo trộn hoạt động của máy chủ.

Điều tốt nhất là thay đổi cổng SSH sang một thứ khác để mặc dù nếu ai đó biết IP, họ sẽ Có thể cố gắng để kết nối sử dụng cổng SSH mặc định.

Thay đổi cổng SSH trong Ubuntu / CentOS rất dễ dàng.

  • Đăng nhập vào VM của bạn với quyền root
  • Sao lưu sshd_config (/ etc / ssh / sshd_config)
  • Mở tệp bằng trình soạn thảo VI

vi / etc / ssh / sshd_config

Tìm dòng có Cổng 22 (thường ở đầu tệp)

# Cổng, IP và giao thức nào chúng tôi lắng nghe
Cảng 22

  • Thay đổi 22 thành một số khác (đảm bảo nhớ lại như bạn sẽ cần điều đó để kết nối). Hãy nói 5000

Cổng 5000

  • Lưu tệp và khởi động lại daemon SSH

dịch vụ sshd khởi động lại

Giờ đây, bạn hoặc bất kỳ ai đã thắng được có thể kết nối với máy chủ của bạn bằng cổng mặc định SSH. Thay vào đó, bạn có thể sử dụng cổng mới để kết nối.

Nếu sử dụng SSH client hoặc Terminal trên MAC thì bạn có thể sử dụng -p để xác định cổng tùy chỉnh.

ssh -p 5000 [email được bảo vệ]

Dễ dàng, không phải là nó?

Bảo vệ khỏi các cuộc tấn công của Brute Force

Một trong những cơ chế phổ biến được sử dụng bởi Tin tặc để kiểm soát doanh nghiệp trực tuyến của bạn bằng cách bắt đầu các cuộc tấn công vũ phu chống lại máy chủ và nền tảng web như WordPress, Joomla, v.v..

Điều này có thể là nguy hiểm nếu không thực hiện nghiêm túc. Có hai các chương trình phổ biến bạn có thể sử dụng để bảo vệ Linux khỏi sức mạnh vũ phu.

Bảo vệ SSH

SSHGuard giám sát các dịch vụ đang chạy từ các tệp nhật ký hệ thống và chặn các lần đăng nhập xấu liên tục.

Ban đầu, nó có nghĩa là cho Bảo vệ đăng nhập SSH, nhưng bây giờ nó hỗ trợ nhiều người khác.

  • FTP thuần, FTP PRO, FTP FTP, FTP FreeBSD
  • Xuất xưởng
  • Gửi thư
  • Dovecot
  • Dưa chuột
  • UWimap

Bạn có thể cài đặt SSHGuard bằng các lệnh sau.

Ubuntu:

cài đặt apt-get SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/reposeocate/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-
vòng / phút sshguard-1.5-7.1.x86_64.rpm

Fail2Ban

Fail2Ban là một chương trình phổ biến khác để bảo vệ SSH. Fail2Ban tự động cập nhật quy tắc iptables nếu lần đăng nhập thất bại đạt đến ngưỡng xác định.

Để cài đặt Fail2Ban trong Ubuntu:

cài đặt apt-get fail2ban

và để cài đặt trong CentOS:

yum cài đặt phát hành epel
yum cài đặt fail2ban

SSH Guard và Fail2Ban phải đủ để bảo vệ đăng nhập SSH. Tuy nhiên, nếu bạn cần khám phá thêm sau đó, bạn có thể tham khảo những điều sau đây.

  • CSF (Bảo mật máy chủ cấu hình & Bức tường lửa)
  • Denyhost

Vô hiệu hóa xác thực dựa trên mật khẩu

Nếu bạn đăng nhập vào máy chủ của mình từ một hoặc hai máy tính, thì bạn có thể sử dụng Khóa SSH xác thực dựa trên.

Tuy nhiên, nếu bạn có nhiều người dùng và thường đăng nhập từ nhiều máy tính công cộng thì việc trao đổi khóa mỗi lần sẽ gây rắc rối.

Vì vậy, dựa trên tình huống, nếu bạn chọn tắt xác thực dựa trên mật khẩu, bạn có thể làm như sau.

Ghi chú: điều này giả định rằng bạn đã thiết lập trao đổi khóa SSH.

  • Sửa đổi / etc / ssh / sshd_config bằng cách sử dụng vi biên tập viên
  • Thêm dòng sau hoặc bỏ ghi chú nếu tồn tại

Mật khẩu không xác thực

  • Tải lại Daemon SSH

Bảo vệ khỏi các cuộc tấn công DDoS

DDoS (Từ chối dịch vụ phân tán) có thể xảy ra tại bất kỳ lớp nào, và đây là điều cuối cùng bạn muốn làm chủ doanh nghiệp.

Tìm IP gốc là có thể, và như một cách thực hành tốt nhất, bạn không nên để lộ IP máy chủ của mình ra Internet công cộng. Có nhiều cách để ẩn conNguồn gốc IPĐể ngăn chặn DDoS trên máy chủ đám mây / VPS của bạn.

Sử dụng bộ cân bằng tải (LB) – thực hiện bộ cân bằng tải đối diện với Internet, do đó IP máy chủ không được tiếp xúc với Internet. Có nhiều bộ cân bằng tải bạn có thể chọn – Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB, v.v..

Sử dụng CDN (Mạng phân phối nội dung) – CDN là một trong những cách tuyệt vời để cải thiện hiệu suất và bảo mật trang web.

Khi bạn triển khai CDN, bạn định cấu hình bản ghi DNS A với địa chỉ IP anycast được cung cấp bởi nhà cung cấp CDN. Bằng cách này, bạn đang quảng cáo IP nhà cung cấp CDN cho tên miền của mình và nguồn gốc không được tiếp xúc.

Có nhiều nhà cung cấp CDN để tăng tốc hiệu suất trang web, bảo vệ DDoS, WAF & nhiều tính năng khác.

  • Đám mây
  • StackPath
  • THÀNH CÔNG
  • KeyCDN

Vì vậy, chọn nhà cung cấp CDN, người cung cấp hiệu suất & bảo mật cả.

Tinh chỉnh cài đặt Kernel & iptables – bạn có thể tận dụng iptables để chặn các yêu cầu đáng ngờ, không phải là SYN, cờ TCP không có thật, mạng con riêng tư và hơn thế nữa.

Cùng với iptables, bạn cũng có thể định cấu hình cài đặt kernel. Javapipe đã giải thích điều đó rất tốt với các hướng dẫn để tôi giành được bản sao ở đây.

Sử dụng tường lửa – Nếu bạn đủ khả năng sử dụng tường lửa dựa trên phần cứng thì nếu không bạn có thể muốn sử dụng tường lửa dựa trên phần mềm tận dụng iptables để bảo vệ kết nối mạng đến VM.

Có rất nhiều, nhưng một trong những phổ biến nhất là UFW (Tường lửa không biến chứng) cho UbuntuTường lửa cho CentOS.

Sao lưu thường xuyên

Sao lưu là bạn của bạn! Khi không có gì hoạt động thì bản sao lưu sẽ giải cứu bạn.

Mọi thứ có thể đi Sai lầm, Nhưng nếu bạn không có bản sao lưu cần thiết để khôi phục thì sao? Hầu hết các nhà cung cấp đám mây hoặc VPS cung cấp sao lưu với một khoản phí nhỏ hơn và người ta phải luôn luôn cân nhắc.

Kiểm tra với nhà cung cấp VPS của bạn cách kích hoạt dịch vụ sao lưu. Tôi biết Linode và DO tính phí 20% cho giá nhỏ giọt cho bản sao lưu.

Nếu bạn đang sử dụng Google Compute Engine hoặc AWS, thì hãy lên lịch chụp ảnh nhanh hàng ngày.

Có một bản sao lưu sẽ nhanh chóng cho phép bạn khôi phục toàn bộ VM, Vì vậy, bạn đã trở lại trong kinh doanh. Hoặc với sự trợ giúp của ảnh chụp nhanh, bạn có thể sao chép VM.

Cập nhật thường xuyên

Luôn cập nhật hệ điều hành VM của bạn là một trong những nhiệm vụ thiết yếu để đảm bảo máy chủ của bạn không bị lộ bất kỳ lỗ hổng bảo mật mới nhất.

Trong Ubuntu, bạn có thể sử dụng bản cập nhật apt-get để đảm bảo các gói mới nhất được cài đặt.

Trong CentOS, bạn có thể sử dụng cập nhật yum

Don mệnh rời cảng mở

Nói cách khác, chỉ cho phép các cổng cần thiết.

Giữ các cổng mở không mong muốn như một kẻ tấn công mời để tận dụng. Nếu bạn chỉ lưu trữ trang web của mình trên VM thì rất có thể bạn cần cổng 80 (HTTP) hoặc 443 (HTTPS).

Nếu bạn đang trên AWS, sau đó bạn có thể tạo nhóm bảo mật để chỉ cho phép các cổng cần thiết và liên kết chúng với VM.

Nếu bạn đang ở trên Google Cloud, thì hãy cho phép các cổng cần thiết bằng cách sử dụngquy tắc tường lửa.Giáo dục

Và nếu bạn đang sử dụng VPS thì hãy áp dụng quy tắc iptables cơ bản như được giải thích trong Hướng dẫn Linode.

Những điều trên sẽ giúp bạn trong việc làm cứng và bảo mật máy chủ của bạn cho bảo vệ tốt hơn khỏi các mối đe dọa trực tuyến.

Hoặc, nếu bạn chưa sẵn sàng để quản lý VM của mình, thì bạn có thể thích Đám mây người quản lý nhiều nền tảng đám mây. Và nếu bạn đang đặc biệt tìm kiếm lưu trữ WordPress cao cấp thì cái này.

THẺ

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map