Com protegir i endurir la Cloud VM (Ubuntu i CentOS)?

La seguretat del sistema operatiu és tan important com el vostre lloc web, aplicacions web, negocis en línia.


És possible que estigueu gastant en el complement de seguretat, WAF, seguretat basat en núvol per protegir el vostre lloc (Capa 7), però deixant el sistema operatiu sense càrrega perillós.

La tendència és canviant.

El lloc web es trasllada a Cloud des d’allotjament compartit per obtenir diversos avantatges.

  • Un temps de resposta més ràpid ja que cap altre usuari els comparteix recursos
  • Control complet sobre una pila de tecnologia
  • Control complet del sistema operatiu
  • Baix cost

“Amb un gran poder, és una gran responsabilitat”

Tens control superior a allotjar el vostre lloc web al núvol VM, però això requereix una mica d’habilitats d’administració del sistema per gestionar la vostra màquina virtual.

Ets tu llest per això?

Nota: si no esteu disposats a invertir el vostre temps, podeu triar Núvols que gestionen AWS, Google Cloud, Digital Ocean, Linode, Vultr & Kyup VM.

Anem a entrar en un guia pràctica per protegir Ubuntu i CentOS VM.

Canvi del port predeterminat SSH

Per defecte, el dimoni SSH escolta número 22 del port. Això vol dir que si algú troba la vostra IP pot intentar connectar-se al vostre servidor.

És possible que no puguin accedir al servidor si heu assegurat amb una contrasenya complexa. Tot i això, poden llançar atacs de força bruta per molestar el funcionament del servidor.

El millor és canviar el port SSH a una altra cosa, tot i que si algú coneix la IP, ells no es pot intentar connectar utilitzant el port SSH per defecte.

Canviar el port SSH a Ubuntu / CentOS és molt fàcil.

  • Inicieu la sessió a la vostra màquina virtual amb el privilegi de root
  • Feu una còpia de seguretat de sshd_config (/ etc / ssh / sshd_config)
  • Obriu el fitxer amb VI editor

vi / etc / ssh / sshd_config

Cerqueu la línia que tingui el port 22 (normalment al començament del fitxer)

# Quins ports, IP i protocols escoltem
Port 22

  • Canvieu 22 a algun altre número (assegureu-vos que recorda ja que necessitareu això per connectar-vos). Diguem-ne 5000

Port 5000

  • Deseu el fitxer i reinicieu el dimoni SSH

reiniciar el servei sshd

Ara, no podreu connectar-vos al vostre servidor mitjançant el port predeterminat SSH. En lloc d’això, podeu utilitzar el nou port per connectar-vos.

Si utilitzeu client SSH o Terminal a MAC, podeu utilitzar -p per definir el port personalitzat.

ssh -p 5000 [correu electrònic protegit]

Fàcil, no ho és?

Protecció dels atacs de la força bruta

Un dels mecanismes comuns que utilitza a pirata informàtic controlar el vostre negoci en línia és iniciant atacs de força bruta contra el servidor i la plataforma web com WordPress, Joomla, etc..

Això pot ser perillós si no es pren seriosament. N’hi ha dos programes populars que podeu utilitzar per protegir Linux de la força bruta.

Guàrdia SSH

SSHGuard supervisa els serveis en execució dels fitxers de registre del sistema i bloqueja repetits intents de connexió errònia.

Inicialment, estava destinada a Protecció d’inici de sessió SSH, però ara dóna suport a moltes altres.

  • FTP pur, FTP PRO, FTP VS, FTP FreeBSD
  • Exim
  • Envia un correu
  • Dovecot
  • Cucipop
  • UWimap

Podeu obtenir SSHGuard instal·lat amb les ordres següents.

Ubuntu:

apt-get install SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

Fail2Ban

Fail2Ban és un altre popular programa per protegir SSH. Fail2Ban actualitza automàticament la regla iptables si un intent d’inici de sessió fallit arriba al llindar definit.

Per instal·lar Fail2Ban a Ubuntu:

apt-get install fall2ban

i instal·lar en CentOS:

yum instal·leu epel-release
yum instal·lar fail2ban

SSH Guard i Fail2Ban haurien de ser suficients per protegir l’inici de sessió SSH. Tanmateix, si necessiteu explorar més, potser podeu consultar el següent.

Desactiveu l’autenticació basada en contrasenya

Si inicieu la sessió al vostre servidor des d’un o dos equips, podeu fer-ho Clau SSH autenticació basada.

Tanmateix, si teniu diversos usuaris i sovint inicieu la sessió des de diversos ordinadors públics, potser serà molest l’intercanvi de claus cada vegada.

De manera que, en funció de la situació, si voleu desactivar l’autenticació basada en contrasenya, podeu fer-ho de la manera següent.

Nota: això suposa que ja heu configurat l’intercanvi de claus SSH.

  • Modifiqueu / etc / ssh / sshd_config fent servir vi editor
  • Afegiu la línia següent o descomenceu-la si existeix

Contrasenya: autenticació núm

  • Torna a carregar el dimoni SSH

Protecció dels atacs de DDoS

DDoS (denegació distribuïda del servei) pot tenir lloc a qualsevol capa, i això és l’últim que desitgeu com a propietari de l’empresa.

Trobar la IP d’origen és possible i, com a bona pràctica, no haureu d’exposar la vostra IP del servidor a Internet pública. Hi ha diverses maneres d’amagar el “IP d’origen“Per evitar les DDoS al servidor núvol / VPS.

Utilitzeu un equilibrador de càrrega (LB) – implementeu un equilibrador de càrrega orientat a Internet, de manera que la IP del servidor no estigui exposada a Internet. Podeu triar entre equilibradors de càrrega: Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB, etc..

Utilitzeu un CDN (Xarxa de lliurament de contingut) – CDN és una de les millors maneres de millorar el rendiment i la seguretat del lloc web.

Quan implementeu CDN, configureu un registre DNS amb l’adreça IP anycast proporcionada pel proveïdor de CDN. En fer això, esteu anunciant IP del proveïdor de CDN per al vostre domini i l’origen no està exposat.

Hi ha molts proveïdors de CDN per accelerar el rendiment del lloc web, protecció DDoS, WAF & moltes altres funcions.

  • Flama de núvols
  • StackPath
  • SUCURI
  • KeyCDN

Per tant, trieu el proveïdor de CDN el rendiment del proveïdor & seguretat tant.

Ajustar la configuració del nucli & iptables – podeu aprofitar els iptables per bloquejar les sol·licituds sospitoses, la no-SYN, la bandera TCP falsa, la subxarxa privada i més.

Juntament amb iptables, també podeu configurar la configuració del nucli. Javapipe ho ha explicat bé amb les instruccions perquè no les duplicaré aquí.

Utilitzeu un tallafoc – Si teniu un tallafoc basat en el maquinari, aleshores és excel·lent tallafoc basat en programari que aprofita els iptables per protegir la connexió de xarxa entrant a la VM.

N’hi ha molts, però un dels més populars és UFW (Firewall no complicat) per a Ubuntu i FirewallD per CentOS.

Còpia de seguretat regular

La còpia de seguretat és el teu amic! Quan res funciona, la còpia de seguretat es farà rescat vostè.

Les coses poden anar mal, però, i si no teniu la còpia de seguretat necessària per restaurar? La majoria dels proveïdors de núvol o VPS ofereixen còpies de seguretat amb una mica de suplement i cal tenir en compte sempre.

Comproveu amb el proveïdor de VPS com habilitar el servei de còpia de seguretat. Sé que Linode i DO cobren el 20% del preu de les gotes per a la còpia de seguretat.

Si esteu a Google Compute Engine o AWS, programeu una instantània diària.

Tenir una còpia de seguretat ràpidament us permetrà restaurar tota la màquina virtual, de manera que torneu a treballar. O amb l’ajuda d’una instantània, podeu clonar la màquina virtual.

Actualització regular

Mantenir el vostre sistema operatiu VM actualitzat és una de les tasques essencials per garantir que el vostre servidor no s’exposi a cap vulnerabilitats de seguretat més recents.

Dins Ubuntu, podeu utilitzar l’actualització apt-get per assegurar-vos que s’instal·lin els darrers paquets.

A CentOS, podeu utilitzar l’actualització yum

No deixis els ports oberts

En una altra paraula, només permeteu els ports necessaris.

Mantenir els ports oberts no desitjats com un atacant convidant a aprofitar. Si acabeu d’allotjar el vostre lloc web a la vostra màquina virtual, probablement necessiteu el port 80 (HTTP) o el 443 (HTTPS)..

Si estàs endavant AWS, llavors podeu crear el grup de seguretat per permetre només els ports requerits i associar-los a la màquina virtual.

Si esteu a Google Cloud, permeteu els ports necessaris mitjançant “normes de tallafoc.”

I si utilitzeu VPS, apliqueu una regla bàsica d’ipptables tal com s’explica a Guia de Linode.

Les opcions anteriors us han d’ajudar a endurir i protegir el servidor millor protecció contra les amenaces en línia.

Alternativament, si no esteu preparats per gestionar la vostra màquina virtual, potser ho preferiu Núvols que gestionen diverses plataformes en núvol. I si esteu buscant específicament allotjament de WordPress premium, aquest.

Tags:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map