保护新的Ubuntu服务器[关闭]

假设我已经全新安装了Ubuntu，我应该采取哪些步骤来保护它作为Rails应用服务器的安全？

我想不出任何特定于Ubuntu的调整，但以下是一些适用于所有发行版的调整：

1. 卸载所有不必要的软件包
2. 在SSH中使用仅公钥身份验证
3. 通过SSH禁用root登录（不适用于Ubuntu）
4. 使用PHP的生产设置（推荐php.ini）
5. 将MySQL配置为仅使用套接字

当然，此列表并不完整，您永远也不会完全安全，但是它涵盖了我在现实生活中看到的所有漏洞。

而且，我所看到的漏洞利用几乎总是与不安全的用户代码而不是不安全的配置有关。最小限度的服务器分发中的默认配置往往非常安全。

我早期要做的一件事是安装DenyHosts。它将定期浏览/ var / log / secure，查找失败的登录，并在几次失败后阻止IP。我将其设置为在第一个没有这样的用户之后，在第二次尝试root时以及对实际用户进行几次尝试后阻止（以防您弄乱了，但您应该使用SSH公钥登录）。

Ubuntu是基于Debian的，我发现《Securing Debian手册》在基于Debian的发行版中非常有用，可以帮助您全面了解系统并检查各个部分。从根本上来说，这是对您的问题的一个非常非常全面的答案。

我通常会安装RKHunter，它会扫描rootkit并对各种重要的系统二进制文件进行完整性检查。它在标准存储库中，每天从cron运行。从安全性角度来看，它不是完美的，但是添加起来却很省力，并且提供了一定程度的保护。

安装logcheck，但要进行调整，以使您永远不会收到来自常规事件的消息，否则您将养成忽略电子邮件的习惯。

使用netstat检查哪些进程正在侦听，并确保不需要运行任何正在运行的进程。可以将许多守护程序配置为仅侦听内部IP（或localhost），而不侦听所有接口。

做可以建议的事情...

对主机进行Nmap并禁用所有非必需服务。如有必要，请使用iptables。

如果您要使用服务器访问Internet附近，请安装诸如snort之类的入侵检测系统。

对各种目录（例如/tmp或）使用单独的分区，并在可能的情况下使用进行/var挂载。nosuidnodevnoexec

一些防火墙建议。

学习使用防火墙以及正确锁定机箱的概念。更改默认端口在很大程度上是没有用的。正确的应用程序和防火墙配置更为重要。

两者都在Ubuntu仓库中：

火热

有很棒的文档，语法也很容易学习。我能够在二十分钟内设置网关/防火墙。我摆脱此问题的唯一原因是它似乎没有得到维护（2年以前的最新版本）。并不意味着它不起作用，而是...

费姆

是另一个。类似于iptables的语法，但概念相同。与FireHOL相比，维护的社区数量更多，但提取所需的时间更长。

岸墙

是我目前使用的 它的文档内容丰富，其配置格式为表格格式。我花了一个半小时的时间才能理解所有必需的文件（6），以使防火墙/网关配置正常运行。非常强大。提示：不同配置文件的手册页非常有帮助！

所有这些都从配置文件加载防火墙配置。非常有效，比起iptables更容易使用，并且（我认为）比ufw更易于使用和管理。

其他：

• 我赞同有关SSH密钥使用的建议。

• 设置一个IDS。

• 了解有关AppArmor的信息。它将可执行文件的文件访问限制为仅所需的指定目录和文件。与RHEL世界中的SELinux类似。已为许多常用程序安装并启用了预配置的“配置文件”。

除了这里的其他建议之外，我还将提及三个显而易见的建议，但也许出于完整性考虑值得一提：

1. 如果您不需要防火墙，请重新考虑。ufw很简单，但是是为Ubuntu设计的，并且基于iptables
2. 更新软件包：至少应用所有安全补丁
3. 记录您为保护服务器安全所做的事情以及原因。包括配置（自动）过程以监视日志，测试配置并报告所需的安全更新。