Как да защитим и затвърдим Cloud VM (Ubuntu & CentOS)?

Сигурността на OS е толкова важна, колкото вашият уебсайт, уеб приложения, онлайн бизнес.


Може да похарчите за плъгин за сигурност, WAF, облачна базирана сигурност, за да защитите сайта си (Layer 7), но оставянето на операционната система без да е втвърдено може да бъде опасно.

Тенденцията е смяна.

Мрежата се движи към Cloud от споделен хостинг за множество предимства.

  • По-бързо време за реакция, тъй като ресурсите не се споделят от никой друг потребител
  • Пълен контрол върху технологичен стек
  • Пълен контрол на операционната система
  • Ниска цена

„С голяма сила идва голяма отговорност“

Вие получавате по-висок контрол в хостинг на уебсайта ви в облачен VM, но това изисква малко умения за администриране на системи, за да управлявате вашата виртуална машина.

Вие ли сте готов за него?

Забележка: ако не сте готови да инвестирате времето си в него, тогава можете да изберете Cloudways които управляват AWS, Google Cloud, Digital Ocean, Linode, Vultr & Кюп В.М..

Нека да влезем в практическо ръководство за осигуряване на Ubuntu и CentOS VM.

Промяна на SSH порт по подразбиране

По подразбиране демонът SSH слуша номер на порт 22. Това означава, ако някой намери вашия IP може да се опита да се свърже с вашия сървър.

Възможно е те да не могат да влязат в сървъра, ако сте се обезопасили със сложна парола. Те обаче могат да стартират груби атаки, за да нарушат работата на сървъра.

Най-хубавото е да смените SSH порта на нещо друго, така че дори ако някой знае IP, той не може да се опита да се свърже използване на SSH порт по подразбиране.

Промяната на SSH порта в Ubuntu / CentOS е много лесна.

  • Влезте във вашия VM с root права
  • Вземете резервно копие на sshd_config (/ etc / ssh / sshd_config)
  • Отворете файла с помощта на VI редактор

vi / etc / ssh / sshd_config

Потърсете ред, който има порт 22 (обикновено в началото на файла)

# Какви портове, IP адреси и протоколи слушаме
Пристанище 22

  • Промяна 22 на някакъв друг номер (уверете се, че помня тъй като ще се нуждаете от това, за да се свържете). Да речем 5000

Пристанище 5000

  • Запазете файла и рестартирайте SSH демон

рестартиране на sshd на услугата

Сега вие или някой няма да можете да се свържете с вашия сървър, използвайки SSH порт по подразбиране. Вместо това можете да използвате новия порт за свързване.

Ако използвате SSH клиент или терминал на MAC, можете да използвате -p, за да определите персонализиран порт.

ssh -p 5000 [Имейл защитен]

лесно, не е ли така?

Защита от брутални атаки

Един от често използваните механизми на a хакер да поемете контрола над вашия бизнес е като инициирате груби атаки срещу сървъра и уеб платформата като WordPress, Joomla и т.н..

Това може да бъде опасно ако не се приема насериозно. Има две популярни програми, които можете да използвате, за да защитите Linux от груба сила.

SSH Guard

SSHGuard следи работещите услуги от файловете на системния лог и блокира повторни опити за лошо влизане.

Първоначално е било предназначено за SSH защита за вход, но сега поддържа много други.

  • Чист FTP, PRO FTP, VS FTP, FreeBSD FTP
  • Exim
  • Изпрати писмо
  • гълъбарник
  • Cucipop
  • UWimap

Можете да получите SSHGuard инсталиран със следните команди.

Ubuntu:

apt-get инсталирайте SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

Fail2Ban

Fail2Ban е друга популярна програма за защита на SSH. Fail2Ban автоматично актуализира правилото iptables, ако неуспешен опит за влизане достигне определения праг.

За да инсталирате Fail2Ban в Ubuntu:

apt-get инсталирате fail2ban

и да инсталирате в CentOS:

yum инсталирайте epel-release
yum инсталиране fail2ban

SSH Guard и Fail2Ban трябва да са достатъчни за защита на SSH влизане. Ако обаче трябва да проучите повече, може да се обърнете към следното.

Деактивирайте удостоверяване с парола

Ако влезете в своя сървър от един или два компютъра, тогава можете да използвате SSH ключ базирана автентификация.

Ако обаче имате няколко потребители и често влизате от множество обществени компютри, може да е трудно да обменяте ключ всеки път.

Така че въз основа на ситуацията, ако решите да деактивирате удостоверяването въз основа на парола, можете да го направите по следния начин.

Забележка: това предполага, че вече сте настроили SSH обмен на ключове.

  • Променете / etc / ssh / sshd_config, като използвате VI редактор
  • Добавете следния ред или го коментирайте, ако съществува

PasswordAuthentication no

  • Презаредете SSH Daemon

Защита от DDoS атаки

DDoS (разпределено отказ от услуга) може да се случи на всеки слой, и това е последното нещо, което искате като собственик на бизнес.

Намирането на първоначалния IP е възможно и като добра практика не бива да излагате IP сървъра си на публичния Интернет. Има няколко начина да скриете „Origin IP“, За да предотвратите DDoS на вашия облачен / VPS сървър.

Използвайте балансиращо натоварване (LB) – внедрете балансиращ натоварването с насочен към Интернет, така че IP сървърът да не е изложен на Интернет. Има много балансиращи натоварвания, от които можете да избирате – Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB и т.н..

Използвайте CDN (мрежа за доставка на съдържание) – CDN е един от страхотните начини за подобряване на ефективността и сигурността на уебсайта.

Когато внедрявате CDN, конфигурирате DNS запис с anycast IP адрес, предоставен от доставчика на CDN. По този начин вие рекламирате CDN доставчик на IP за вашия домейн и произходът не е изложен.

Има много доставчици на CDN за ускоряване на работата на уебсайта, защита на DDoS, WAF & много други функции.

  • Cloudflare
  • StackPath
  • SUCURI
  • KeyCDN

Така че изберете доставчика на CDN, който изпълнява доставчика & сигурност и двете.

Оправете настройките на ядрото & IPTABLES – можете да използвате iptables за блокиране на съмнителни заявки, non-SYN, фалшив TCP флаг, частна подмрежа и други.

Заедно с iptables, можете също да конфигурирате настройките на ядрото. Javapipe го обясних добре с инструкциите, така че тук няма да го дублирам.

Използвайте защитна стена – Ако си позволите защитна стена, базирана на хардуер, тогава отлична, в противен случай може да искате да използвате софтуерно базирана защитна стена който използва iptables за защита на входящата мрежова връзка с VM.

Има много, но една от най-популярните е неотчитане (Неусложнена защитна стена) за Ubuntu и FirewallD за CentOS.

Редовно резервно копие

Резервното копие е ваш приятел! Когато нищо не работи, тогава резервното копие ще спасяване Вие.

Нещата могат да вървят погрешно, но какво ще стане, ако нямате необходимия архив за възстановяване? Повечето от облачните или VPS доставчици предлагат резервно копие с малко допълнително заплащане и винаги трябва да се обмисля.

Проверете при вашия доставчик на VPS как да активирате услугата за архивиране. Знам, че Linode и DO таксуват 20% от цените на капките за резервното копие.

Ако сте в Google Compute Engine или AWS, тогава планирайте ежедневна снимка.

Наличието на резервно копие бързо ще ви позволи възстановете цялата VM, така че сте отново в бизнеса. Или с помощта на моментна снимка можете да клонирате VM.

Редовна актуализация

Актуализирането на вашата VM OS е една от основните задачи, за да гарантирате, че вашият сървър не е изложен на никоя най-новите уязвими места в сигурността.

в Ubuntu, можете да използвате актуализация apt-get, за да гарантирате, че са инсталирани най-новите пакети.

В CentOS можете да използвате yum update

Не оставяйте отворени пристанища

С друга дума, разрешете само необходимите портове.

Поддържане на нежелани отворени портове като приканващ нападател да се възползва. Ако просто хоствате уебсайта си във вашия VM, тогава най-вероятно се нуждаете или от порт 80 (HTTP) или 443 (HTTPS).

Ако сте на AWS, след това можете да създадете групата за сигурност, която да разрешава само необходимите портове и да ги асоциирате с VM.

Ако сте в Google Cloud, разрешете необходимите портове, като използвате „правила за защитна стена.”

И ако използвате VPS, тогава прилагайте основни правила за iptables, както е обяснено в Линоден водач.

Горното трябва да ви помогне в закаляването и да защитите вашия сървър за по-добра защита от онлайн заплахи.

алтернативно, ако не сте готови да управлявате вашия VM, тогава може да предпочитате Cloudways които управляват множество облачни платформи. И ако специално търсите първокласен хостинг на WordPress, тогава този.

ЕТИКЕТИ:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map