Cum să securizați și să durificați VM Cloud (Ubuntu și CentOS)?

Securizarea sistemului de operare este la fel de important ca site-ul dvs. web, aplicațiile web, afacerile online.


Este posibil să cheltuiți pentru pluginul de securitate, WAF, securitatea bazată pe cloud pentru a vă proteja site-ul (stratul 7), dar lăsând sistemul de operare neîncărcat poate fi periculos.

Tendința este schimbare.

Web-ul se mută în Cloud de la hostingul comun pentru mai multe avantaje.

  • Timpul de răspuns mai rapid deoarece resursele nu sunt partajate de niciun alt utilizator
  • Control complet pe o stivă tehnologică
  • Control complet al sistemului de operare
  • Cost scăzut

„Cu o mare putere vine o mare responsabilitate”

Primesti control superior în găzduirea site-ului dvs. web pe cloud VM, dar asta necesită un pic de abilități de administrare a sistemului pentru a vă gestiona mașina virtuală.

Tu esti gata pentru aceasta?

Notă: dacă nu sunteți dispus să investiți timpul în el, puteți alege Cloudways care gestionează AWS, Google Cloud, Digital Ocean, Linode, Vultr & Kyup VM.

Haideți să intrăm într-un ghid practic pentru a securiza Ubuntu și CentOS VM.

Modificarea portului implicit SSH

În mod implicit, daemon SSH ascultă numărul 22 de port. Aceasta înseamnă că dacă cineva găsește IP-ul dvs. poate încerca să se conecteze la serverul dvs..

Este posibil să nu poată intra pe server dacă ai securizat cu o parolă complexă. Cu toate acestea, pot lansa atacuri de forță brută pentru a perturba funcționarea serverului.

Cel mai bun lucru este să schimbați portul SSH în altceva, chiar dacă cineva cunoaște IP-ul, ei nu pot încerca să se conecteze folosind portul SSH implicit.

Schimbarea portului SSH în Ubuntu / CentOS este foarte ușoară.

  • Conectați-vă la mașina dvs. virtuală cu privilegiul root
  • Faceți o copie de rezervă a sshd_config (/ etc / ssh / sshd_config)
  • Deschideți fișierul folosind editor VI

vi / etc / ssh / sshd_config

Căutați linia care are portul 22 (de obicei la începutul fișierului)

# Ce porturi, IP și protocoale ascultăm
Port 22

  • Schimbați 22 la un alt număr (asigurați-vă că tine minte deoarece veți avea nevoie de asta pentru a vă conecta). Să zicem 5000

Portul 5000

  • Salvați fișierul și reporniți demonul SSH

service sshd restart

Acum, tu sau oricine nu vă veți putea conecta la serverul dvs. utilizând portul implicit SSH. În schimb, puteți utiliza noul port pentru a vă conecta.

Dacă utilizați client SSH sau Terminal pe MAC, puteți utiliza -p pentru a defini portul personalizat.

ssh -p 5000 [Email protected]

Uşor, nu este?

Protejarea împotriva atacurilor de forțe brute

Unul dintre mecanismele comune utilizate de către hacker a prelua controlul asupra afacerii dvs. online este prin inițierea atacurilor de forță brută împotriva serverului și a platformei web precum WordPress, Joomla, etc..

Acesta poate fi periculos dacă nu este luat în serios. Sunt Două programe populare pe care le puteți utiliza pentru a proteja Linux de forța brută.

Garda SSH

SSHGuard monitorizează serviciile care rulează din fișierele de jurnal ale sistemului și blochează repetate încercări de conectare necorespunzătoare.

Inițial, a fost menit pentru Protecție de conectare SSH, dar acum susține multe altele.

  • FTP pur, FTP PRO, FTP VS, FTP FreeBSD
  • Exim
  • sendmail
  • Porumbar
  • Cucipop
  • UWimap

Puteți instala SSHGuard instalat cu următoarele comenzi.

Ubuntu:

apt-get install SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

fail2ban

Fail2Ban este un alt program popular pentru protejarea SSH. Fail2Ban actualizează automat regula iptables dacă o încercare de autentificare eșuată atinge pragul definit.

Pentru a instala Fail2Ban în Ubuntu:

apt-get install fail2ban

și pentru a instala în CentOS:

yum instalați epel-release
yum instala fail2ban

SSH Guard și Fail2Ban ar trebui să fie suficiente pentru a proteja conectarea SSH. Cu toate acestea, dacă trebuie să explorați mai multe, este posibil să vă referiți la următoarele.

Dezactivați autentificarea bazată pe parolă

Dacă vă conectați la serverul dvs. de la unul sau două computere, puteți utiliza Cheie SSH autentificare bazată.

Cu toate acestea, dacă aveți mai mulți utilizatori și vă conectați adesea de la mai multe calculatoare publice, atunci ar putea fi deranjant să schimbați cheie de fiecare dată.

Deci, pe baza situației, dacă optați pentru a dezactiva autentificarea bazată pe parolă, puteți face acest lucru după cum urmează.

Notă: aceasta presupune că ați configurat deja schimbul de chei SSH.

  • Modificați / etc / ssh / sshd_config utilizând vi editor
  • Adăugați următoarea linie sau descompuneți-o dacă există

Parola Autentificare nr

  • Reîncărcați Daemon SSH

Protejarea împotriva atacurilor DDoS

DDoS (refuzul distribuit al serviciului) se poate întâmpla la orice strat, iar acesta este ultimul lucru pe care îl doriți ca proprietar de afaceri.

Găsirea IP-ului de origine este posibilă și, ca o practică bună, nu ar trebui să expuneți IP-ul serverului dvs. la Internetul public. Există mai multe modalități de a ascunde „IP de origine”Pentru a preveni DDoS pe serverul dvs. cloud / VPS.

Folosiți un echilibrator de sarcină (LB) – implementați un echilibrator de sarcină orientat pe Internet, astfel încât IP-ul serverului să nu fie expus la Internet. De la care puteți alege diverse balanțe de încărcare – Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB, etc..

Utilizați un CDN (rețea de livrare de conținut) – CDN este una dintre modalitățile excelente de a îmbunătăți performanța și securitatea site-ului web.

Când implementați CDN, configurați o înregistrare DNS A cu adresa IP anycast furnizată de furnizorul CDN. Prin aceasta, faceți publicitate IP furnizorului CDN pentru domeniul dvs. și originea nu este expusă.

Există mulți furnizori CDN pentru a accelera performanța site-ului web, protecția DDoS, WAF & multe alte caracteristici.

  • Cloudflare
  • StackPath
  • Sucuri
  • KeyCDN

Alegeți deci furnizorul CDN care furnizează performanțele & securitate atât.

Tweak setările Kernel & iptables – puteți utiliza instrumentele iptabile pentru a bloca cererile suspecte, non-SYN, steag TCP fals, subrețea privată și multe altele.

Împreună cu iptables, puteți configura, de asemenea, setările nucleului. Javapipe a explicat-o bine cu instrucțiunile, astfel încât să nu o reproduc aici.

Utilizați un firewall – Dacă vă permiteți un firewall bazat pe hardware, atunci altfel excelent, poate doriți să utilizați un firewall-ul bazat pe software care folosește iptables pentru a proteja conexiunea de rețea primită la VM.

Există multe, dar una dintre cele mai populare este UFW (Firewall necomplicat) pentru Ubuntu și FirewallD pentru CentOS.

Backup regulat

Backup-ul este prietenul tău! Când nimic nu funcționează, atunci se va face backup salvare tu.

Lucrurile pot merge gresit, dar ce se întâmplă dacă nu aveți backup-ul necesar pentru restaurare? Majoritatea furnizorilor de cloud sau VPS oferă o copie de rezervă cu un cost suplimentar și ar trebui să ne luăm în considerare întotdeauna.

Verificați cu furnizorul VPS cum să activați serviciul de rezervă. Știu că Linode și DO încarcă 20% din prețul picăturilor pentru backup.

Dacă sunteți pe Google Compute Engine sau AWS, atunci programați o instantanee zilnică.

Dacă aveți o copie de rezervă vă va permite rapid restaurați întreaga VM, deci te întorci în afaceri. Sau cu ajutorul unei instantanee, puteți clona VM-ul.

Actualizare periodică

Menținerea actualizată a sistemului VM este una dintre sarcinile esențiale pentru a vă asigura că serverul dvs. nu este expus la niciunul cele mai recente vulnerabilități de securitate.

În Ubuntu, puteți utiliza actualizarea apt-get pentru a vă asigura că sunt instalate cele mai recente pachete.

În CentOS, puteți utiliza actualizarea yum

Nu lăsați porturile deschise

Într-un alt cuvânt, permiteți doar porturile necesare.

Păstrând porturile deschise nedorite ca un atacator invitat să profite. Dacă vă găzduiți doar site-ul dvs. pe VM, atunci cel mai probabil aveți nevoie fie de port 80 (HTTP), fie de 443 (HTTPS).

Dacă sunteți pornit AWS, atunci puteți crea grupul de securitate care să permită doar porturile necesare și să le asociați cu VM.

Dacă sunteți pe Google Cloud, atunci permiteți porturile necesare folosind „reguli pentru firewall.“

Și dacă utilizați VPS, atunci aplicați regulile de bază pentru iptables, așa cum este explicat în Ghid Linode.

Cele de mai sus ar trebui să vă ajute în întărirea și securizarea serverului dvs. o mai bună protecție împotriva amenințărilor online.

Alternativ, dacă nu sunteți gata să vă gestionați VM-ul, atunci puteți prefera Cloudways care gestionează mai multe platforme cloud. Și dacă sunteți în mod special în căutarea de găzduire premium WordPress, acesta.

ETICHETE:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map