چگونه ایمن و Harden Cloud VM (اوبونتو و CentOS) را ایمن کنیم؟

امنیت سیستم عامل به همان اندازه وب سایت شما ، برنامه های وب ، کسب و کار آنلاین مهم است.


شما ممکن است برای محافظت از سایت خود روی افزونه های امنیتی ، WAF و امنیت مبتنی بر ابر هزینه کنید (لایه 7) اما رها کردن سیستم عامل بدون نظارت می تواند باشد. خطرناک.

روند این است در حال تغییر.

وب برای مزایای متعدد ، از میزبانی مشترک به Cloud منتقل می شود.

  • زمان پاسخ سریعتر زیرا منابع توسط هیچ کاربر دیگری به اشتراک گذاشته نمی شود
  • کنترل کامل روی یک پشته فناوری
  • کنترل کامل سیستم عامل
  • کم هزینه

“قدرت زیاد مسئولیت زیاد هم می آورد”

شما دریافت می کنید کنترل بالاتر در میزبانی وب سایت خود در رایانه ابری ، اما برای مدیریت VM خود نیاز به کمی مهارت در سیستم مدیر دارید.

شما هستید آماده برای این?

توجه: اگر مایل نیستید وقت خود را در آن سرمایه گذاری کنید ، می توانید انتخاب کنید ابرهای ابری افرادی که AWS ، Google Cloud ، Digital Ocean ، Linode ، Vultr را مدیریت می کنند & Kyup VM.

بیایید وارد یک راهنمای عملی برای تأمین امنیت اوبونتو و CentOS VM.

تغییر درگاه پیش فرض SSH

به طور پیش فرض ، Daemon SSH گوش می دهد پورت شماره 22. این بدان معناست که اگر شخصی IP شما را پیدا کند می تواند به سرور شما متصل شود.

اگر رمز عبور پیچیده ای داشته باشید ، ممکن است آنها نتوانند وارد سرور شوند. با این حال ، آنها می توانند حملات بی رحمانه ای را برای اختلال در عملکرد سرور انجام دهند.

بهترین کار این است که درگاه SSH را به چیز دیگری تغییر دهید ، حتی اگر کسی IP را بشناسد ، آنها نیز هستند نمی توانم تلاش کنم با استفاده از درگاه SSH پیش فرض.

تغییر درگاه SSH در Ubuntu / CentOS بسیار آسان است.

  • با امتیاز اصلی وارد VM شوید
  • از نسخه پشتیبان از sshd_config (/ etc / ssh / sshd_config) استفاده کنید
  • پرونده را با استفاده از ویرایشگر VI باز کنید

vi / etc / ssh / sshd_config

به دنبال خطی باشید که دارای پورت 22 باشد (معمولاً در ابتدای پرونده)

# چه پورت ، آی پی و پروتکل هایی را که ما به آنها گوش می دهیم
بندر 22

  • 22 را به تعدادی دیگر تغییر دهید (اطمینان حاصل کنید که) یاد آوردن همانطور که برای اتصال به آن احتیاج دارید). بیایید 5000

بندر 5000

  • پرونده را ذخیره کرده و Daemon SSH را مجدداً راه اندازی کنید

سرویس sshd راه اندازی مجدد

اکنون ، شما یا هر کسی نمی توانید با استفاده از درگاه پیش فرض SSH به سرور خود متصل شوید. درعوض ، می توانید از پورت جدید برای اتصال استفاده کنید.

در صورت استفاده از سرویس گیرنده SSH یا ترمینال در MAC ، می توانید از -p برای تعریف پورت دلخواه استفاده کنید.

ssh -p 5000 [ایمیل محافظت شده]

آسان, اینطور نیست?

محافظت از حملات وحشیانه

یکی از مکانیسم های رایج مورد استفاده توسط a هکر با کنترل حملات بی رحمانه بر روی سرور و پلت فرم وب مانند وردپرس ، جوملا و غیره ، کنترل کسب و کار آنلاین خود را کنترل کنید..

این میتواند باشد خطرناک اگر جدی گرفته نشود وجود دارد دو برنامه های محبوب شما می توانید برای محافظت از لینوکس در برابر نیروی بی رحم استفاده کنید.

گارد SSH

SSHGuard نظارت بر سرویسهای در حال اجرا از پرونده های ورود به سیستم سیستم و تلاشهای مکرر ورود به سیستم جلوگیری می کند.

در ابتدا ، منظور آن بود محافظت از ورود به سیستم SSH, اما اکنون بسیاری دیگر را پشتیبانی می کند.

  • خالص FTP ، PRO FTP ، VS FTP ، FreeBSD FTP
  • اگزیم
  • ارسال ایمیل
  • کبوتر
  • خیار
  • UWimap

می توانید SSHGuard را با دستورات زیر نصب کنید.

اوبونتو:

نصب SSHGuard را نصب کنید

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

Fail2Ban

Fail2Ban یکی دیگر از برنامه های محبوب برای محافظت از SSH است. اگر یک تلاش ورود به سیستم شکست خورده به آستانه تعریف شده برسد ، Fail2Ban به طور خودکار قانون iptables را به روز می کند.

برای نصب Fail2Ban در اوبونتو:

apt-get install fail2ban

و در CentOS نصب کنید:

yum نصب اپل رها کنید
yum install fail2ban

SSH Guard و Fail2Ban برای محافظت از ورود به سیستم SSH کافی هستند. با این حال ، اگر نیاز به کشف بیشتر از آن داشته باشید ، می توانید به موارد زیر مراجعه کنید.

  • CSF (امنیت ConfigServer & دیواره آتش)
  • DenyHosts

تأیید هویت مبتنی بر گذرواژه را غیرفعال کنید

اگر از یک یا دو رایانه به سرور خود وارد شوید ، می توانید از آن استفاده کنید کلید SSH احراز هویت مبتنی بر.

اما اگر چندین کاربر دارید و اغلب از چندین رایانه عمومی وارد سیستم می شوید ، تبادل کلید در هر زمان ممکن است مشکل باشد.

بنابراین بر اساس شرایط ، اگر می خواهید تأیید هویت مبتنی بر رمز عبور را غیرفعال کنید ، می توانید آن را به شرح زیر انجام دهید.

توجه داشته باشید: این فرض بر این است که شما قبلاً مبادله کلید SSH را تنظیم کرده اید.

  • با استفاده از اصلاح / etc / ssh / sshd_config از طریق ویرایشگر
  • خط زیر را اضافه کنید یا در صورت وجود آن را ناراضی کنید

رمز عبور

  • بارگیری مجدد SSH Daemon

محافظت از حملات DDoS

DDoS (توزیع انکار سرویس) می تواند در آن اتفاق بیفتد هر لایه, و این آخرین چیزی است که شما به عنوان یک صاحب مشاغل می خواهید.

پیدا کردن IP منشا ممکن است و به عنوان بهترین روش ، نباید IP سرور خود را در اینترنت عمومی قرار دهید. روش های مختلفی برای پنهان کردن “مبدأ IP“برای جلوگیری از DDoS روی سرور cloud / VPS.

استفاده از بالانسور بار (LB) – تعادل بار در اینترنت را پیاده سازی کنید ، بنابراین IP سرور در معرض اینترنت قرار نگیرد. موازنه بار زیادی وجود دارد که می توانید انتخاب کنید – Google Cloud LB ، AWS ELB ، Linode Nodebalancer ، DO LB و غیره.

استفاده از CDN (شبکه تحویل محتوا) – CDN یکی از راه های عالی برای بهبود عملکرد و امنیت وب سایت است.

وقتی CDN را پیاده سازی می کنید ، DNS ضبط را با آدرس IP nocast ارائه شده توسط ارائه دهنده CDN پیکربندی می کنید. با این کار ، شما IP ارائه دهنده CDN را برای دامنه خود و منشاء در معرض آن نیست.

ارائه دهنده CDN بسیاری برای تسریع در عملکرد وب سایت ، محافظت از DDoS ، WAF وجود دارد & بسیاری از ویژگی های دیگر.

  • Cloudflare
  • StackPath
  • سوکوري
  • KeyCDN

بنابراین ارائه دهنده CDN را که عملکرد ارائه دهنده را انتخاب می کند ، انتخاب کنید & امنیت هر دو.

تنظیمات هسته را تنظیم کنید & iptables – می توانید برای جلوگیری از درخواست های مشکوک ، غیر SYN ، جعلی TCP ، زیر شبکه خصوصی و موارد دیگر ، از iptables استفاده کنید..

در کنار iptables ، ممکن است تنظیمات هسته را نیز پیکربندی کنید. جاواپيپ آن را با دستورالعمل ها به خوبی توضیح داده است تا من آن را در اینجا کپی نکنم.

از فایروال استفاده کنید – اگر از یک فایروال سخت افزاری برخوردار هستید ، پس از آن بسیار عالی است که در غیر این صورت ممکن است بخواهید از آن استفاده کنید فایروال مبتنی بر نرم افزار از iptables برای محافظت از اتصال شبکه ورودی به VM استفاده می کند.

تعداد زیادی وجود دارد ، اما یکی از محبوب ترین آنها است UFW (فایروال بدون عارضه) برای اوبونتو و FirewallD برای CentOS.

پشتیبان گیری منظم

پشتیبان گیری دوست شما است! وقتی هیچ کاری انجام نشود ، نسخه پشتیبان تهیه خواهد شد نجات شما.

همه چیز می تواند برود اشتباه, اما اگر پشتیبان لازم برای بازیابی ندارید ، چه می کنید؟ بیشتر ارائه دهندگان cloud یا VPS با کمی هزینه اضافی نسخه پشتیبان تهیه می کنند و همیشه باید در نظر بگیرید.

نحوه ارائه خدمات پشتیبان با ارائه دهنده VPS خود را بررسی کنید. من می دانم که Linode و DO 20٪ قیمت قطره را برای تهیه نسخه پشتیبان شارژ می کند.

اگر در Google Compute Engine یا AWS هستید ، یک عکس فوری روزانه برنامه ریزی کنید.

تهیه نسخه پشتیبان به سرعت به شما امکان می دهد بازیابی کل VM, بنابراین شما به تجارت باز می گردید. یا با کمک عکس فوری می توانید VM را کلون کنید.

به روز رسانی منظم

به روز بودن سیستم عامل VM خود یکی از کارهای اساسی برای اطمینان از عدم قرار گرفتن سرور شما است آخرین آسیب پذیری های امنیتی.

که در اوبونتو, برای اطمینان از نصب آخرین بسته ها می توانید از بروزرسانی مناسب استفاده کنید.

در CentOS می توانید از بروزرسانی yum استفاده کنید

بنادر باز نشده را ترک نکنید

به عبارت دیگر ، فقط به درگاه های مورد نیاز اجازه دهید.

نگه داشتن درگاه های باز ناخواسته مانند یک مهاجم دعوت کننده برای استفاده. اگر تازه میزبان وب سایت خود در VM هستید ، به احتمال زیاد به پورت 80 (HTTP) یا 443 (HTTPS) احتیاج دارید..

اگر روشن است AWS, سپس می توانید گروه امنیتی ایجاد کنید تا فقط درگاه های مورد نیاز را داشته باشید و آنها را با VM مرتبط کنید.

اگر در Google Cloud هستید ، اجازه دهید پورت های لازم را با استفاده از “قوانین فایروال.”

و اگر از VPS استفاده می کنید ، همانطور که در توضیح داده شد ، دستورالعمل اصلی iptables را اعمال کنید راهنمای لینود.

موارد فوق باید به شما در سخت شدن و امنیت سرور خود کمک کند محافظت بهتر از تهدیدات آنلاین.

متناوبا، از سوی دیگر, اگر شما آماده مدیریت VM خود نیستید ، ممکن است ترجیح دهید ابرهای ابری که چندین سیستم عامل ابر را مدیریت می کند. و اگر به طور خاص به دنبال میزبانی ممتاز وردپرس هستید ، این یکی است.

برچسب ها:

  • لینوکس

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map