如何确保VPS安装安全?


16

我计划安装Webmin来托管博客和个人项目的VPS安装的基本保护步骤是什么?


如果您提供了操作系统的详细信息,将会有所帮助。
蒂姆·波斯特

Linux安装-最有可能是Ubuntu或CentOS。
JFW 2010年

Answers:


13

danlefree对这个类似问题的回答在这里非常相关:不受管理的VPS有多困难?

保护服务器安全不仅仅是一项一次性的任务。

最初的一次性任务包括:

  • 强化SSHd(这里有许多技巧和教程,是从搜索中获得的第一个漂亮的提示。
  • 确保关闭了不需要的服务(或者最好将其卸载)。
  • 确保不需要公开可用的服务。例如,将数据库服务器配置为仅侦听本地接口和/或添加防火墙规则以阻止外部连接尝试。
  • 确保您的Web服务器进程(和其他服务)的所有用户都以对他们不相关的文件/目录具有读访问权限,并且对其他任何文件都没有写权限,除非他们需要对所选文件/目录的写访问权限(例如,接受上传的图片)。
  • 设置良好的自动备份例程以保留在线备份(最好在另一台服务器上或在家中),以便将您的内容复制到其他位置,以便在服务器发生最严重的情况(完全不可恢复的崩溃或被黑客入侵)时可以将其恢复
  • 了解服务器上已安装的所有工具(阅读文档,也许将它们安装在测试环境中,例如在virtualbox下安装本地VM,以尝试不同的配置并对其进行破坏和修复),以便您能够修复出现的问题(或至少正确诊断此类问题,以便您可以帮助其他人解决该问题)。您将感谢您在将来某个时候花在此上的时间!

正在进行的任务包括:

  • 确保及时应用基本操作系统的安全更新。可以使用诸如apticron之类的工具使您了解需要应用的更新。我会避免自动应用更新的设置-您想在运行之前查看要更改的内容(对于debian / ubuntu而言)aptitude safe-upgrade,这样您就知道要对服务器执行什么操作。
  • 确保对手动安装的任何库/应用/脚本的更新(即,不是使用内置程序包管理从分发标准存储库中更新)也已及时安装。此类libs / apps / scripts可能具有自己的邮件列表,以宣布更新,或者您可能只需要定期监视其网站以随时了解情况。
  • 随时了解安全问题,这些问题需要通过配置更改来解决,而不是通过修补程序包解决,或者在创建,测试+发布修补程序包之前需要解决这些问题。订阅由维护您的发行人员运行的所有与安全相关的邮件列表,并关注可能报告此类问题的技术站点。
  • 管理某种形式的脱机备份以消除额外的疑虑。如果将服务器备份到家用计算机,请定期将副本复制到CD / DVD / USB记忆棒中。
  • 偶尔测试您的备份,以使它们正常运行。未经测试的备份不是很好的备份。您不想让服务器死机,然后发现几个月以来您的数据没有得到正确的备份。

所有好的Linux发行版都可以立即安装到相当安全的状态(至少在第一套更新之后,当您拉入自从按下/释放安装CD /映像以来发布的安全补丁)。工作并不困难,但是要做好,将需要更多的时间。


4

linux VPS的伟大之处在于它们非常安全。我的第一个建议是与您的主机交谈,看看它们是否会为您增强或优化安全性。大多数带有控制面板的VPS(Webmin,cpanel等)都是“托管”的,它们会为您做很多事情。我认为,尤其是如果您不确定自己在做什么,这是最佳选择。

如果您是一个人,请首先查看防火墙,如APF(高级策略防火墙?)或CSF(ConfigServer防火墙)。CSF可以选择登录失败检测,如果您尝试登录并多次失败,它将自动禁止您的IP地址。我不确定这些是否是“必需的”,因为linux不会在它也不在监听流量的端口上做出响应,但是它们确实提供了一些帮助。而且,如果您有许多用于各种流量的端口开放,那么也许您想要防火墙。

可能更重要的是确保您安装的应用程序是最新的。例如,通过Wordpress漏洞被黑客入侵的网站数量要多于服务器操作系统中的某些漏洞。如果您是自定义的编码脚本,请确保同时注意安全性,因为您不想通过诸如联系表之类的愚蠢的东西无意中打开门户。



2
  • 删除不需要的服务(netstat是您的朋友)

  • 禁用服务广告(显示版本号对Scriptkiddies非常有用

  • 将管理(非公共)端口号更改为晦涩的名称(22上的SSH会不断被扫描)

  • 制定您的配额和限制:cgroupslimits.confqos等-并积极监控它们-如果Web开发人员代码或DDoS攻击使您的网站瘫痪并使您的设备无法访问,则修复为时已晚

  • 一些发行版针对基于网络的应用程序提供SELinux / AppArmor / etc配置文件,请使用它们

前三个可以通过WebMin(以某种方式)执行。您可能需要通过ServerFault查看。



1

只是几点。-更改您的SSH端口。-禁用文件目录列表。-删除服务器签名,令牌。-安装一些防火墙

还有更多的事情..我只是告诉我现在的事情..

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.