Hoe kan ek Cloud VM (Secure VM) beveilig en verhard (Ubuntu & CentOS)?

Die beveiliging van bedryfstelsel is net so belangrik soos u webwerf, webtoepassings, aanlynbesighede.


U spandeer moontlik aan sekuriteit-inprop, WAF, wolk-gebaseerde sekuriteit om u werf te beskerm (laag 7), maar die bedryfstelsel ongeharde kan wees gevaarlike.

Die neiging is verander.

Die web skuif na gedeelde hosting van verskeie voordele.

  • Vinniger responstyd, aangesien hulpbronne nie deur ‘n ander gebruiker gedeel word nie
  • Volle beheer op ‘n tegniese stapel
  • Volle beheer oor die bedryfstelsel
  • Lae koste

“Met groot krag kom groot verantwoordelikheid”

Jy kry hoër beheer as u u webwerf op cloud VM aanbied, maar dit verg ‘n bietjie stelseladministrasievaardighede om u VM te bestuur.

Is jy gereed vir dit?

Let wel: as u nie bereid is om u tyd daarin te belê nie, kan u kies Cloudways wat AWS, Google Cloud, Digital Ocean, Linode, Vultr bestuur & Kyup VM.

Kom ons begin met ‘n praktiese gids om Ubuntu en CentOS VM te beveilig.

Verander SSH-verstekpoort

SSH daemon luister standaard hawe nommer 22. Dit beteken dat as iemand vind dat u IP kan koppel aan u bediener.

Miskien kan hulle nie by die bediener inkom as u met ‘n ingewikkelde wagwoord beveilig is nie. Hulle kan egter brute kragaanvalle loods om die bediener se werking te versteur.

Die beste ding is om die SSH-poort in iets anders te verander, alhoewel hulle iemand weet wat die IP is kan nie probeer om aan te sluit nie gebruik standaard SSH-poort.

Dit is baie maklik om die SSH-poort in Ubuntu / CentOS te verander.

  • Teken in op u VM met die wortelvoorreg
  • Neem ‘n rugsteun van sshd_config (/ etc / ssh / sshd_config)
  • Maak die lêer oop met VI-redigeerder

vi / ens / ssh / sshd_config

Soek ‘n reël met Port 22 (gewoonlik aan die begin van die lêer)

# Na watter poorte, IP’s en protokolle ons luister
Port 22

  • Verander 22 na ‘n ander nommer (verseker dat onthou soos u dit nodig het om aan te sluit). Laat ons sê 5000

Port 5000

  • Stoor die lêer en herbegin die SSH-dememon

diens sshd herbegin

U of iemand sal nie met die SSH-standaardpoort aan u bediener kan koppel nie. In plaas daarvan kan u die nuwe poort gebruik om aan te sluit.

As u SSH-kliënt of Terminal op MAC gebruik, kan u -p gebruik om die aangepaste poort te definieer.

ssh -p 5000 [Email protected]

maklik, is dit nie?

Beskerming teen aanvalle van brute magte

Een van die algemene meganismes wat gebruik word deur a hacker beheer oor u aanlynbesigheid te neem, is deur brute kragaanvalle teen die bediener en webplatform soos WordPress, Joomla, ens. in te stel.

Dit kan wees gevaarlike indien nie ernstig opgeneem nie. Daar is twee gewilde programme wat u kan gebruik om Linux teen brute krag te beskerm.

SSH-wag

SSHGuard monitor die lopende dienste vanaf die stelselloglêers en blokkeer herhaalde slegte aanmeldpogings.

Aanvanklik was dit bedoel vir SSH-aantekenbeskerming, maar nou ondersteun dit baie ander.

  • Suiwer FTP, PRO FTP, VS FTP, FreeBSD FTP
  • Exim
  • Stuur pos
  • dovecot
  • Cucipop
  • UWimap

U kan SSHGuard installeer met die volgende opdragte.

Ubuntu:

pas-kry SSHGuard installeer

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

Fail2Ban

Fail2Ban is ‘n ander gewilde program om SSH te beskerm. Fail2Ban dateer die iptables-reël outomaties op indien ‘n mislukte aanmeldpoging die omskrewe drempel bereik.

Om Fail2Ban in Ubuntu te installeer:

apt-get install fail2ban

en om in CentOS te installeer:

yum installeer epel-release
yum installeer fail2ban

SSH Guard en Fail2Ban behoort voldoende te wees om SSH-aanmelding te beskerm. As u egter meer moet ondersoek, kan u die volgende verwys.

Deaktiveer wagwoordgebaseerde verifikasie

As u op een of twee rekenaars by u bediener aanmeld, kan u dit gebruik SSH-sleutel gebaseerde verifikasie.

As u egter veelvuldige gebruikers het en gereeld van verskeie openbare rekenaars af aanmeld, kan dit lastig wees om elke keer die sleutel uit te ruil.

As u dus kies om die wagwoordgebaseerde verifikasie uit te skakel, kan u dit op die volgende manier doen.

nota: dit veronderstel dat u reeds SSH-sleuteluitruiling opgestel het.

  • Verander / ens / ssh / sshd_config met behulp van vi redakteur
  • Voeg die volgende reël by of ontkies dit as dit bestaan

Wagwoordverklaring no

  • Herlaai die SSH Daemon

Beskerming teen DDoS-aanvalle

DDoS (Distribution Denial of Service) kan plaasvind op enige laag, en dit is die laaste ding wat u as besigheidseienaar wil hê.

Dit is moontlik om die oorsprong-IP te vind, en as beste praktyk, moet u nie u bediener-IP aan die openbare internet blootstel nie. Daar is verskillende maniere om die ‘Oorsprong IP”Om die DDoS op u cloud / VPS-bediener te voorkom.

Gebruik ‘n lasbalansier (LB) – implementeer ‘n internetbelaaide vragbalans, sodat die IP-bediener nie aan die internet blootgestel word nie. Daar is baie lasbalansers waaruit u kan kies – Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB, ens.

Gebruik ‘n CDN (Content Delivery Network) – CDN is een van die wonderlike maniere om webwerfprestasie en sekuriteit te verbeter.

As u CDN implementeer, stel u DNS A-rekord op met die IPcast-adres wat deur die CDN-verskaffer voorsien word. Deur dit te doen, adverteer u ‘n CDN-verskaffer-IP vir u domein en oorsprong word nie blootgestel nie.

Daar is baie CDN-verskaffers om die prestasie van die webwerf, DDoS-beskerming, WAF, te versnel & baie ander funksies.

  • Cloudflare
  • StackPath
  • SUCURI
  • KeyCDN

Kies dus die CDN-aanbieder wat prestasie lewer & sekuriteit albei.

Stel die Kernel-instellings aan & iptables – u kan iptables gebruik om verdagte versoeke, nie-SYN, vals TCP-vlag, privaat subnet en meer te blokkeer.

Saam met iptables kan u ook die kerninstellings opstel. Javapipe het dit goed met die instruksies verduidelik sodat ek dit nie hier sal dupliseer nie.

Gebruik ‘n firewall – As u ‘n hardeware-gebaseerde firewall bekostig, is dit uitstekend, anders wil u dit a gebruik sagteware-gebaseerde firewall wat gebruik maak van iptables om die inkomende netwerkverbinding met die VM te beskerm.

Daar is baie, maar een van die gewildste is UFW (Ongekompliseerde firewall) vir Ubuntu en FirewallD vir CentOS.

Gereelde rugsteun

Rugsteun is u vriend! As niks werk nie, sal die rugsteun wel redding jy.

Dinge kan gaan verkeerde, maar wat as u nie die nodige rugsteun het om te herstel nie? Die meeste van die wolk- of VPS-verskaffers bied rugsteun teen ‘n bietjie ekstra koste en daar moet altyd oorweeg word.

Raadpleeg u VPS-verskaffer hoe u rugsteundiens kan aktiveer. Ek weet Linode en vra 20% van die prys van druppels vir die rugsteun.

As u van Google Compute Engine of AWS gebruik maak, skeduleer dan ‘n daaglikse momentopname.

As u ‘n rugsteun het, kan u dit vinnig doen herstel die hele VM, dus is u weer besig. Of u kan die VM kloon met behulp van ‘n momentopname.

Gereelde opdatering

Om u VM OS op datum te hou is een van die belangrikste take om te verseker dat u bediener nie blootgestel word aan enigeen nie nuutste sekuriteit kwesbaarhede.

in Ubuntu, kan u apt-get-opdatering gebruik om te verseker dat die nuutste pakkette geïnstalleer is.

In CentOS kan u yum-opdatering gebruik

Moenie oop hawens verlaat nie

Met ‘n ander woord, laat slegs die nodige poorte toe.

Om ongewenste oop hawens soos ‘n nooi aanvaller te hou om voordeel te trek. As u net u webwerf op u VM aanbied, benodig u waarskynlik poort 80 (HTTP) of 443 (HTTPS).

As jy aan is AWS, dan kan u die veiligheidsgroep skep om slegs die vereiste poorte toe te laat en dit met die VM te assosieer.

As u op Google Cloud is, laat dan die nodige poorte toe met behulp van “firewall reëls.”

En as u VPS gebruik, pas dan basiese iptables-reëls toe soos uiteengesit in Linode gids.

Bogenoemde moet u help om u bediener te verhard en te beveilig beter beskerming teen aanlynbedreigings.

Alternatiewelik, as u nie gereed is om u VM te bestuur nie, kan u dit verkies Cloudways wat verskeie wolkplatforms bestuur. En as u spesifiek op soek is na premium WordPress-hosting, dan is hierdie een.

Tags:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map