Zabezpieczanie linuksowego serwera www dla publicznego dostępu

Ważne jest, aby w miarę możliwości stosować najlepsze praktyki w zakresie bezpieczeństwa, ale nie chcesz nadmiernie utrudniać sobie sprawy lub tracić snu, martwiąc się o nadążanie za najnowszymi exploitami. Z mojego doświadczenia wynika, że istnieją dwie kluczowe rzeczy, które mogą pomóc utrzymać twój osobisty serwer na tyle bezpieczny, aby wymiotować w Internecie, zachowując przy tym zdrowy rozsądek: {]}

1) bezpieczeństwo poprzez zaciemnienie

Nie trzeba dodawać, że poleganie na tym w "realnym świecie" jest złym pomysłem i nie do baw się dobrze. Ale to dlatego, że w prawdziwym świecie, źli wiedzą, co tam jest i że jest łup do zdobycia.

Na serwerze osobistym większość 'ataków', na które będziesz cierpieć, będzie po prostu automatycznym wymiataniem z maszyn, które już zostały zainfekowane, szukając domyślnych instalacji produktów, o których wiadomo, że są podatne na ataki. Jeśli twój serwer nie oferuje niczego kuszącego na domyślnych portach lub w domyślnych lokalizacjach, automatyczny atakujący przejdzie dalej. Dlatego, jeśli jesteś aby uruchomić serwer ssh, umieść go na niestandardowym porcie (>1024) i prawdopodobnie nigdy nie zostanie znaleziony. Jeśli uda ci się uciec z tą techniką dla Twojego serwera www, to świetnie, przenieś to do niejasnego portu.

2) Zarządzanie pakietami

Nie Kompiluj i nie instaluj Apache lub sshd ze źródła samodzielnie, chyba że absolutnie musisz. Jeśli to zrobisz, bierzesz na siebie odpowiedzialność za aktualizowanie najnowszych poprawek zabezpieczeń. Niech ładni opiekunowie pakietów z dystrybucji Linuksa, takich jak Debian lub Ubuntu, wykonują pracę za Ciebie. Instalacja z wstępnie skompilowanych pakietów distro, a pozostawanie na bieżąco staje się kwestią wydawania sporadycznych poleceń apt-get update && apt-get-u dist-upgrade, lub korzystania z dowolnego wymyślnego narzędzia GUI, które dostarcza Ubuntu.

Jedną z rzeczy, które powinieneś wziąć pod uwagę, jest to, jakie porty są otwarte na świat. Osobiście po prostu otwieram port 22 dla SSH i port 123 dla ntpd. Ale jeśli otworzysz port 80 (http) lub ftp upewnij się, że dowiesz się przynajmniej, co obsługujesz świat i kto może z tym zrobić. Nie wiem zbyt wiele o ftp, ale są miliony świetnych samouczków Apache tylko wyszukiwarka Google.

Bit-Tech.Net opublikował kilka artykułów na temat konfiguracji serwera domowego z użyciem Linuksa. Oto linki:

Artykuł 1
Artykuł 2

Mam nadzieję, że to pomoże.

@svrist wspomniał o EC2. EC2 zapewnia API do zdalnego otwierania i zamykania portów. W ten sposób możesz utrzymać swoją skrzynkę. Jeśli chcesz dać demo z kawiarni lub biura klienta, możesz pobrać swoje IP i dodać je do ACL.

Jego bezpieczne, jeśli zachować swój głos w dół o tym (to znaczy, rzadko ktoś przyjdzie po serwerze domowym, jeśli jesteś po prostu hosting uwielbiony webroot na połączenie domowe) i swój rozum o konfiguracji (to znaczy, unikaj używania root dla wszystkiego, upewnij się, że oprogramowanie na bieżąco).

Jeśli chodzi o tą notkę, chociaż wątek ten potencjalnie zmniejszy się do tylko flaming, Moja propozycja dla Twojego osobistego serwera to trzymać się wszystkiego Ubuntu ( get Ubuntu Server tutaj); z mojego doświadczenia wynika, że najszybciej uzyskać odpowiedzi, skąd zadawać pytania na forach (Nie wiem, co powiedzieć o wychwycie choć).

Moje bezpieczeństwo serwerów domowych BTW trochę korzyści (chyba, lub lubię myśleć) z braku statycznego IP (działa na DynDNS).

Powodzenia!

/ mp

Uważaj na otwarcie portu SSH na Dzikim. Jeśli to zrobisz, upewnij się, że wyłączyłeś loginy roota (zawsze możesz su lub sudo po wejściu) i rozważyć bardziej agresywne metody uwierzytelniania w granicach rozsądku. Widziałem ogromny atak słownikowy w logach mojego serwera w jeden weekend po moim serwerze SSH z domowego serwera IP DynDNS.

To powiedziawszy, to naprawdę niesamowite być w stanie dostać się do swojej skorupy domu z pracy lub z dala... i dodając fakt, że można używać SFTP nad ten sam port, nie wyobrażam sobie życia bez niego. =)

Możesz rozważyć wystąpienie EC2 z Amazon . W ten sposób można łatwo przetestować "rzeczy" bez mieszania z produkcją. I płać tylko za przestrzeń, czas i przepustowość, z której korzystasz.

Jeśli uruchomisz Serwer Linuksowy z domu, zainstaluj ossec na nim, aby uzyskać ładny lekki identyfikator, który działa naprawdę dobrze.

[edytuj]

Jeśli masz zamiar to zrobić, wydaj trochę pieniędzy i przynajmniej kup dedykowany router / firewall z oddzielnym portem DMZ. Będziesz chciał wyłączyć zaporę sieciową z serwera, aby kiedy(nie jeśli!) Twój serwer WWW jest zagrożony, Twoja sieć wewnętrzna nie jest również natychmiast podatna na ataki.

Istnieje wiele sposobów, aby to zrobić, które będą działać dobrze. Zwykle jsut używać .plik htaccess. Szybka konfiguracja i zabezpieczenie wystarczy . Prawdopodobnie nie jest to najlepsza opcja, ale działa na mnie. Nie chciałbym umieścić moje numery kart kredytowych za nim, ale poza tym nie obchodzi mnie to.

Wow, otwierasz puszkę robaków, jak tylko zaczniesz otwierać cokolwiek do zewnętrznego ruchu. Pamiętaj, że to, co uważasz za eksperymentalny serwer, prawie jak ofiarny Baranek, jest również łatwym wyborem dla osób, które chcą zrobić złe rzeczy z Twoją siecią i zasobami.

Twoje podejście do zewnętrznego serwera powinno być bardzo ostrożne i dokładne. Zaczyna się od prostych rzeczy, takich jak Zasady zapory, obejmuje podstawowy system operacyjny (utrzymując go załatane, konfigurowanie go pod kątem bezpieczeństwa itp.) i obejmuje każdą warstwę każdego stosu, którego będziesz używać. Obawiam się, że nie ma prostej odpowiedzi ani przepisu.

Jeśli chcesz eksperymentować, zrobisz o wiele lepiej, aby utrzymać serwer prywatny i używać VPN, jeśli chcesz pracować na nim zdalnie.