Hogyan lehet biztonságosítani és megkeményíteni a felhő virtuális gépet (Ubuntu & CentOS)?

Az operációs rendszer biztosítása ugyanolyan fontos, mint a webhely, a webes alkalmazások, az online üzlet.


Lehet, hogy a biztonsági bővítményre, a WAF-re és a felhőalapú biztonságra költi a webhely védelmét (7. réteg), de az operációs rendszer megkeményebbé tétele veszélyes.

A tendencia az változó.

Az Internet többféle előnye érdekében mozog a felhőbe a megosztott tárhelyről.

  • Gyorsabb válaszidő, mivel az erőforrásokat egyetlen felhasználó sem osztja meg
  • Teljes irányítás egy tech veremnél
  • Az operációs rendszer teljes irányítása
  • Alacsony költségű

„Nagy hatalommal jár nagy felelősség”

Kapsz magasabb irányítás webhelyének felhőalapú virtuális gépen való tárolásában, de ehhez kissé szükség van a rendszergazda képességeire a virtuális gép kezeléséhez.

Te kész érte?

Megjegyzés: Ha nem hajlandó befektetni idejét, akkor választhat Cloudways akik kezelik az AWS-t, a Google Cloud, a Digital Ocean, a Linode, a Vultr & Kyup VM.

Menjünk bele a gyakorlati útmutató az Ubuntu és a CentOS virtuális gép biztonságához.

Az SSH alapértelmezett portjának megváltoztatása

Alapértelmezés szerint az SSH démon figyel portszám 22. Ez azt jelenti, hogy ha valaki megtalálja az Ön IP-jét, megkísérli csatlakozni a szerveréhez.

Lehet, hogy nem tudnak bejutni a kiszolgálóra, ha összetett jelszóval van védve. Ezek azonban brutális erőszakos támadásokat indíthatnak a szerver működésének megzavarása érdekében.

A legjobb dolog az SSH-port cseréje valami másra, bár ha valaki ismeri az IP-t, akkor az is nem tudom megpróbálni csatlakozni alapértelmezett SSH port használatával.

Az SSH-port megváltoztatása az Ubuntu / CentOS-ban nagyon egyszerű.

  • Jelentkezzen be a virtuális gépbe a root jogosultsággal
  • Készítsen biztonsági másolatot az sshd_config fájlról (/ etc / ssh / sshd_config)
  • Nyissa meg a fájlt a VI szerkesztő segítségével

vi / etc / ssh / sshd_config

Keressen egy sort, amelynek 22. portja van (általában a fájl elején)

# Milyen portokat, IP-ket és protokollokat hallgatunk
22. kikötő

  • Váltson 22-re más számra (ügyeljen arra, hogy emlékezik mivel ehhez szükséged lesz a csatlakozásra). Mondjuk 5000

Port 5000

  • Mentse el a fájlt, és indítsa újra az SSH démont

service sshd restart

Most Ön vagy bárki nem lesz képes csatlakozni a kiszolgálóhoz az SSH alapértelmezett portján keresztül. Ehelyett az új portot használhatja a csatlakozáshoz.

Ha SSH klienst vagy terminált használ a MAC-n, akkor a -p paranccsal határozhatja meg az egyéni portot.

ssh -p 5000 [Email protected]

Könnyen, nem igaz??

Védelem a brutális erőszakos támadásoktól

Az a közös mechanizmusok, amelyeket a hacker online vállalkozása irányításáért brutális erőszakos támadásokat kezdeményezhet a szerver és a webplatform ellen, például WordPress, Joomla stb..

Ez lehet veszélyes ha nem veszik komolyan. Vannak két népszerű programok, amelyek segítségével megvédheti a Linuxot a brutális erőtől.

SSH Gárda

SSHGuard figyeli a futó szolgáltatásokat a rendszernaplófájlokból, és blokkolja az ismételt rossz bejelentkezési kísérleteket.

Kezdetben az volt a célja SSH bejelentkezés védelme, de most sok más támogat.

  • Tiszta FTP, PRO FTP, VS FTP, FreeBSD FTP
  • Exim
  • Levél küldés
  • Galambdúc
  • Cucipop
  • UWimap

Az SSHGuard az alábbi parancsokkal telepíthető.

Ubuntu:

apt-get install SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

fail2ban

A Fail2Ban egy másik népszerű program az SSH védelmére. A Fail2Ban automatikusan frissíti az iptables szabályt, ha egy sikertelen bejelentkezési kísérlet eléri a meghatározott küszöböt.

A Fail2Ban telepítése Ubuntun:

apt-get install fail2ban

és telepítés a CentOS-ban:

yum install epel-release
yum install fail2ban

Az SSH Guardnak és a Fail2Ban-nak elegendőnek kell lennie az SSH bejelentkezés védelméhez. Ha azonban még többet kell feltárnia, utalhat a következőkre.

Jelszó alapú hitelesítés letiltása

Ha egy vagy két számítógépről jelentkezik be a kiszolgálóra, akkor használhatja SSH kulcs alapú hitelesítés.

Ha azonban több felhasználó van, és gyakran több nyilvános számítógépről jelentkezik be, akkor nehéz lehet a kulcs cseréje minden alkalommal.

Tehát a helyzet alapján, ha úgy dönt, hogy letiltja a jelszó alapú hitelesítést, a következőképpen teheti meg.

Jegyzet: ez feltételezi, hogy már beállította az SSH kulcscserét.

  • Módosítsa az / etc / ssh / sshd_config fájlt a vi szerkesztő
  • Adja hozzá a következő sort, vagy törölje azt, ha létezik

JelszóHitelesítési szám

  • Töltse fel újra az SSH Daemont

Védje a DDoS támadásokat

A DDoS (elosztott szolgáltatásmegtagadás) ideje: bármilyen réteg, és ez az utolsó, amit üzleti tulajdonosként szeretne.

Lehetséges a származási IP megkeresése, és bevált gyakorlatként ne tegye ki a szerver IP-jét a nyilvános internetnek. A „Származási IP”Elkerülése érdekében a felhő / VPS-kiszolgálón lévő DDoS-t.

Használjon terheléselosztót (LB) – valósítson meg egy Internet felé néző terheléselosztót, így a szerver IP-je nem lesz kitéve az internetnek. Számos terheléselosztó közül választhat – Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB stb..

Használjon CDN-t (tartalomszolgáltatási hálózat) – A CDN az egyik legjobb módszer a weboldal teljesítményének és biztonságának javítására.

A CDN végrehajtásakor a DNS A rekordot a CDN szolgáltató által biztosított bármilyen IP-címmel konfigurálja. Ezzel hirdeti a CDN szolgáltató IP-jét a domainjére és az eredet nincs kitéve.

Számos CDN szolgáltató gyorsítja fel a weboldal teljesítményét, a DDoS védelmet, a WAF-ot & sok más funkció.

  • CloudFlare
  • StackPath
  • SUCURI
  • KeyCDN

Tehát válassza ki a CDN szolgáltatót, aki a teljesítményt nyújtja & biztonság mind.

Csavarozza be a Kernel beállításait & iptables – kihasználhatja az iptable programokat a gyanús kérelmek, a nem SYN, a hamis TCP jelző, a privát alhálózat és egyebek blokkolására.

Az iptables mellett a rendszermag beállításait is konfigurálhatja. Javapipe jól megmagyarázta az utasításokkal, így nem fogom itt lemásolni.

Használjon tűzfalat – Ha hardver-alapú tűzfalat kínál, akkor kiváló, különben érdemes használni a szoftver alapú tűzfal amely kihasználja az iptable-kat a bejövő hálózati kapcsolat védelmére a virtuális géppel.

Sok, de az egyik legnépszerűbb UFW (Komplex tűzfal) Ubuntu és FirewallD mert CentOS.

Rendszeres biztonsági mentés

A biztonsági mentés a barátod! Ha semmi sem működik, akkor a biztonsági mentés megtörténik mentés te.

A dolgok menhetnek rossz, de mi van, ha nincs meg a visszaállításhoz szükséges biztonsági másolat? A felhő vagy a VPS szolgáltatók többsége kis mentési díj ellenében készít biztonsági másolatot, és ezt mindig figyelembe kell venni.

Kérdezze meg a VPS szolgáltatót, hogy engedélyezze a biztonsági mentési szolgáltatást. Tudom, hogy Linode és a cseppek árának 20% -át a tartalékért számítom fel.

Ha a Google Compute Engine vagy az AWS szolgáltatást használja, akkor ütemezze a napi pillanatfelvételt.

Ha biztonsági másolatot készít, akkor ezt gyorsan megteheti visszaállítja a teljes virtuális gépet, tehát visszatért az üzletbe. Vagy pillanatkép segítségével klónozhatja a virtuális gépet.

Rendszeres frissítés

A virtuális gép operációs rendszerének naprakészen tartása az egyik alapvető feladat annak biztosítása érdekében, hogy a kiszolgáló ne legyen kitéve a legújabb biztonsági rések.

Ban ben Ubuntu, az apt-get frissítést használhatja a legújabb csomagok telepítésének biztosításához.

A CentOS alkalmazásban használhatja a yum frissítést

Ne hagyja el a nyitott portokat

Más szóval, csak a szükséges portokat engedélyezze.

A nem kívánt nyitott portok megtartása, mint egy meghívó támadó, aki kihasználja az előnyöket. Ha csak webhelyét tárolja a virtuális gépén, akkor valószínűleg a 80-as (HTTP) vagy a 443-as (HTTPS) portra van szüksége..

Ha éppen van AWS, akkor létrehozhat egy biztonsági csoportot, amely csak a szükséges portokat engedélyezi, és társítja azokat a virtuális géphez.

Ha a Google Cloud-on van, akkor engedélyezze a szükséges portokat a „tűzfalszabályok.”

És ha VPS-t használ, akkor alkalmazza az alapvető iptables-szabályokat, ahogy az magyarázatra került Linóda útmutató.

A fentieknek segíteniük kell a szerver edzésében és biztonságában jobb védelem az online fenyegetésekkel szemben.

vagylagosan, ha még nem áll készen a virtuális gép kezelésére, akkor inkább inkább Cloudways akik több felhőplatformot kezelnek. És ha kifejezetten prémium WordPress tárhelyet keres, akkor ezt.

CÍMKÉK:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map