Як убезпечити та затвердити Cloud VM (Ubuntu & CentOS)?

Захист ОС настільки ж важливий, як ваш веб-сайт, веб-додатки, бізнес в Інтернеті.


Ви можете витратити на плагін безпеки, WAF, хмарну безпеку, щоб захистити свій сайт (рівень 7), але залишати ОС незахищеною можна небезпечний.

Тенденція така змінюючись.

Мережа переходить до Cloud із спільного хостингу для отримання багатьох переваг.

  • Швидше час відгуку, оскільки ресурси не поділяються жодним іншим користувачем
  • Повний контроль над стеком технологій
  • Повний контроль над операційною системою
  • Низька вартість

“З великою силою приходить велика відповідальність”

Ви отримуєте вищий контроль у розміщенні вашого веб-сайту у хмарній ВМ, але для управління системою VM потрібно трохи навичок системного адміністратора.

Ти готовий для нього?

Примітка: якщо ви не бажаєте вкладати свій час на це, тоді ви можете вибрати Хмарні доріжки які керують AWS, Google Cloud, Digital Ocean, Linode, Vultr & Кюп В.М..

Давайте перейдемо до практичний посібник для захисту Ubuntu та CentOS VM.

Зміна порту за замовчуванням SSH

За замовчуванням демон SSH слухає порт №22. Це означає, що якщо хтось знайде ваш IP, може спробувати підключитися до вашого сервера.

Вони не зможуть потрапити на сервер, якщо ви захистили складний пароль. Однак вони можуть запускати грубі атаки, щоб порушити роботу сервера.

Найкраще – змінити порт SSH на щось інше, навіть якщо хтось знає IP, вони не можна спробувати підключитися використовуючи стандартний порт SSH.

Змінити порт SSH в Ubuntu / CentOS дуже просто.

  • Увійдіть у свій ВМ із кореневою привілеєю
  • Візьміть резервну копію sshd_config (/ etc / ssh / sshd_config)
  • Відкрийте файл за допомогою редактора VI

vi / etc / ssh / sshd_config

Шукайте рядок, який містить порт 22 (зазвичай на початку файлу)

# Які порти, IP-адреси та протоколи ми слухаємо
Порт 22

  • Змініть 22 на якесь інше число (переконайтеся, що на пам’ятати як вам це знадобиться для підключення). Скажімо, 5000

Порт 5000

  • Збережіть файл та перезапустіть демон SSH

перезапуск служби sshd

Тепер ви або хтось не зможете підключитися до свого сервера за допомогою стандартного порту SSH. Натомість ви можете використовувати новий порт для підключення.

Якщо ви використовуєте клієнт SSH або термінал на MAC, ви можете використовувати -p для визначення користувальницького порту.

ssh -p 5000 [захищено електронною поштою]

Легко, чи не так??

Захист від жорстоких нападів

Один із поширених механізмів, який використовує a хакер взяти під контроль свій бізнес в Інтернеті – ініціюючи жорстокі напади на сервер та веб-платформу, такі як WordPress, Joomla тощо.

Це може бути небезпечний якщо не сприймати серйозно. Існує два популярні програми, які ви можете використовувати для захисту Linux від грубої сили.

SSH Guard

SSHGuard контролює запущені служби з файлів системного журналу та блокує повторні спроби входу в систему.

Спочатку це було призначено для Захист входу в SSH, але зараз він підтримує багато інших.

  • Чистий FTP, PRO FTP, VS FTP, FreeBSD FTP
  • Exim
  • Sendmail
  • Голубець
  • Cucipop
  • UWimap

Ви можете встановити SSHGuard за допомогою наступних команд.

Ubuntu:

apt-get install SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

Fail2Ban

Fail2Ban – ще одна популярна програма захисту SSH. Fail2Ban автоматично оновлює правило iptables, якщо невдала спроба входу досягає визначеного порогу.

Щоб встановити Fail2Ban в Ubuntu:

apt-get install fail2ban

і встановити в CentOS:

yum встановити epel-release
yum встановити fail2ban

SSH Guard та Fail2Ban повинні бути достатніми для захисту входу в SSH. Однак якщо вам потрібно вивчити більше, ви можете звернутися до наступного.

Вимкнути автентифікацію на основі пароля

Якщо ви увійдете на свій сервер з одного або двох комп’ютерів, ви можете користуватися Ключ SSH аутентифікація на основі.

Однак якщо у вас є декілька користувачів і ви часто входите з декількох публічних комп’ютерів, обміняти ключі може бути клопіт щоразу.

Отже, виходячи з ситуації, якщо ви вирішите вимкнути автентифікацію на основі пароля, ви можете зробити це наступним чином.

Примітка: це передбачає, що ви вже налаштували обмін ключами SSH.

  • Змініть / etc / ssh / sshd_config за допомогою vi редактор
  • Додайте наступний рядок або коментуйте його, якщо він існує

Аутентифікація пароля немає

  • Перезавантажте демона SSH

Захист від DDoS-атак

DDoS (розповсюджений відмова в обслуговуванні) може статися на будь-який шар, і це останнє, що ти хочеш як власник бізнесу.

Пошук вихідного IP-адреси можливо, і як найкраща практика, ви не повинні піддавати IP-адресу свого сервера публічному Інтернету. Існує кілька способів приховати “Походження IP“, Щоб запобігти DDoS на вашому хмарному / VPS-сервері.

Використовуйте балансир навантаження (LB) – впровадити балансир завантаження, орієнтований на Інтернет, щоб IP-адреса сервера не піддавалася доступу до Інтернету. Можна вибрати багато балансирів навантаження – Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB тощо.

Використовуйте CDN (мережа доставки вмісту) – CDN – це один із чудових способів покращити продуктивність та безпеку веб-сайту.

Під час реалізації CDN ви налаштовуєте DNS-запис із будь-якою IP-адресою, наданою постачальником CDN. Роблячи це, ви рекламуєте IP-провайдера CDN для свого домену та походження не піддається.

Існує багато постачальників CDN для прискорення роботи веб-сайту, захисту DDoS, WAF & багато інших особливостей.

  • Хмара
  • StackPath
  • СУКУРІ
  • KeyCDN

Тож виберіть постачальника CDN, який здійснюватиме провайдер & безпека обох.

Налаштуйте налаштування ядра & iptables – ви можете використовувати iptables для блокування підозрілих запитів, не-SYN, неправдивого прапора TCP, приватної підмережі та іншого.

Поряд з iptables ви також можете налаштувати параметри ядра. Javapipe добре пояснив це вказівками, так що я не буду його дублювати тут.

Використовуйте брандмауер – Якщо ви дозволите собі апаратний брандмауер, то відмінно в іншому випадку ви можете скористатися програмний брандмауер що використовує iptables для захисту вхідного мережевого з’єднання з VM.

Їх багато, але одна з найпопулярніших – це UFW (Нескладний брандмауер) для Ubuntu і FirewallD для CentOS.

Регулярне резервне копіювання

Резервне копіювання – ваш друг! Коли нічого не працює, резервне копіювання буде порятунок ви.

Все може піти неправильно, але що робити, якщо у вас немає необхідної резервної копії для відновлення? Більшість постачальників хмарних технологій або VPS пропонують резервне копіювання за невелику плату, і завжди слід враховувати.

Зверніться до свого постачальника послуг VPS, як увімкнути службу резервного копіювання. Я знаю, що Linode і DO заряджають 20% ціни на краплі для резервного копіювання.

Якщо ви перебуваєте в Google Compute Engine або AWS, тоді плануйте щоденний знімок.

Маючи резервну копію, це швидко дозволить вам відновити всю ВМ, тому ви знову в бізнесі. Або за допомогою знімка ви можете клонувати ВМ.

Регулярне оновлення

Постійне оновлення вашої ОС VM – одна з найважливіших завдань, щоб ваш сервер не піддавався жодній дії останні вразливості безпеки.

В Ubuntu, ви можете використовувати оновлення apt-get, щоб забезпечити встановлення останніх пакетів.

У CentOS ви можете використовувати оновлення yum

Не залишайте відкритих портів

Іншим словом, дозволяйте лише потрібні порти.

Тримайте небажані відкриті порти, як запрошення зловмисника скористатися. Якщо ви просто розміщуєте свій веб-сайт у своїй машині, тоді, швидше за все, вам знадобиться або порт 80 (HTTP), або 443 (HTTPS).

Якщо ви на AWS, тоді ви можете створити групу безпеки, щоб дозволити лише потрібні порти та пов’язати їх з VM.

Якщо ви перебуваєте в Google Cloud, тоді дозвольте необхідні порти, використовуючи “правила брандмауера.”

І якщо ви використовуєте VPS, застосуйте базовий набір правил iptables, як пояснено в Лінодна направляюча.

Вищезазначене повинно допомогти вам у зміцненні та безпеці вашого сервера кращий захист від онлайн-загроз.

Як варіант, якщо ви не готові керувати своїм VM, то, можливо, ви віддасте перевагу Хмарні доріжки які керують кількома хмарними платформами. А якщо ви спеціально шукаєте преміальний хостинг WordPress, то цей.

МЕТИ:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map