Wie kann ich eine Cloud-VM (Ubuntu & CentOS) sichern und härten?

Das Sichern des Betriebssystems ist genauso wichtig wie Ihre Website, Webanwendungen und das Online-Geschäft.


Möglicherweise geben Sie für Sicherheits-Plugins, WAF und Cloud-basierte Sicherheit aus, um Ihre Site zu schützen (Schicht 7), aber das Betriebssystem kann nicht gehärtet sein gefährlich.

Der Trend ist Ändern.

Das Web wechselt vom Shared Hosting zur Cloud, um mehrere Vorteile zu erzielen.

  • Schnellere Antwortzeit, da Ressourcen von keinem anderen Benutzer gemeinsam genutzt werden
  • Volle Kontrolle über einen Tech-Stack
  • Volle Kontrolle über das Betriebssystem
  • Kostengünstig

“Mit großer Macht kommt große Verantwortung”

Du erhältst höhere Kontrolle Beim Hosten Ihrer Website auf einer Cloud-VM sind jedoch einige Systemadministratorkenntnisse erforderlich, um Ihre VM zu verwalten.

Bist du bereit dafür?

Hinweis: Wenn Sie nicht bereit sind, Ihre Zeit in sie zu investieren, können Sie wählen Wolkenwege die AWS, Google Cloud, Digital Ocean, Linode, Vultr verwalten & Kyup VM.

Kommen wir zu einem praktischer Leitfaden um Ubuntu und CentOS VM zu sichern.

Ändern des SSH-Standardports

Standardmäßig hört der SSH-Dämon zu Portnummer 22. Das heißt, wenn jemand Ihre IP findet, kann er versuchen, eine Verbindung zu Ihrem Server herzustellen.

Sie können möglicherweise nicht auf den Server zugreifen, wenn Sie mit einem komplexen Kennwort gesichert haben. Sie können jedoch Brute-Force-Angriffe starten, um den Serverbetrieb zu stören.

Das Beste ist, den SSH-Port auf etwas anderes zu ändern, auch wenn jemand die IP kennt kann nicht versuchen, eine Verbindung herzustellen Verwenden des Standard-SSH-Ports.

Das Ändern des SSH-Ports in Ubuntu / CentOS ist sehr einfach.

  • Melden Sie sich mit dem Root-Privileg bei Ihrer VM an
  • Erstellen Sie eine Sicherungskopie von sshd_config (/ etc / ssh / sshd_config).
  • Öffnen Sie die Datei mit dem VI-Editor

vi / etc / ssh / sshd_config

Suchen Sie nach einer Zeile mit Port 22 (normalerweise am Anfang der Datei).

# Auf welche Ports, IPs und Protokolle wir achten
Port 22

  • Ändern Sie 22 in eine andere Nummer (stellen Sie sicher, dass merken wie Sie das brauchen, um eine Verbindung herzustellen). Sagen wir 5000

Port 5000

  • Speichern Sie die Datei und starten Sie den SSH-Daemon neu

Service sshd Neustart

Jetzt können Sie oder jemand über den SSH-Standardport keine Verbindung zu Ihrem Server herstellen. Stattdessen können Sie den neuen Port zum Herstellen einer Verbindung verwenden.

Wenn Sie einen SSH-Client oder ein Terminal auf einem MAC verwenden, können Sie den benutzerdefinierten Port mit -p definieren.

ssh -p 5000 [E-Mail geschützt]

Einfach, ist es nicht?

Schutz vor Brute-Force-Angriffen

Einer der gemeinsamen Mechanismen von a Hacker Um die Kontrolle über Ihr Online-Geschäft zu übernehmen, müssen Sie Brute-Force-Angriffe auf den Server und die Webplattform wie WordPress, Joomla usw. einleiten.

Das kann sein gefährlich wenn nicht ernst genommen. Es gibt zwei Beliebte Programme, mit denen Sie Linux vor Brute Force schützen können.

SSH-Wache

SSHGuard überwacht die ausgeführten Dienste anhand der Systemprotokolldateien und blockiert wiederholte fehlerhafte Anmeldeversuche.

Ursprünglich war es dafür gedacht SSH-Anmeldeschutz, aber jetzt unterstützt es viele andere.

  • Reines FTP, PRO FTP, VS FTP, FreeBSD FTP
  • Exim
  • Sendmail
  • Taubenschlag
  • Cucipop
  • UWimap

Sie können SSHGuard mit den folgenden Befehlen installieren.

Ubuntu:

apt-get installiere SSHGuard

CentOS::

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
U / min -ivh sshguard-1.5-7.1.x86_64.rpm

Fail2Ban

Fail2Ban ist ein weiteres beliebtes Programm zum Schutz von SSH. Fail2Ban aktualisiert die iptables-Regel automatisch, wenn ein fehlgeschlagener Anmeldeversuch den definierten Schwellenwert erreicht.

So installieren Sie Fail2Ban in Ubuntu:

apt-get install fail2ban

und in CentOS zu installieren:

yum installiere epel-release
yum installiere fail2ban

SSH Guard und Fail2Ban sollten ausreichen, um die SSH-Anmeldung zu schützen. Wenn Sie jedoch mehr erforschen müssen, können Sie sich auf Folgendes beziehen.

Deaktivieren Sie die kennwortbasierte Authentifizierung

Wenn Sie sich von einem oder zwei Computern aus bei Ihrem Server anmelden, können Sie verwenden SSH-Schlüssel basierte Authentifizierung.

Wenn Sie jedoch mehrere Benutzer haben und sich häufig von mehreren öffentlichen Computern aus anmelden, kann es schwierig sein, den Schlüssel jedes Mal auszutauschen.

Je nach Situation können Sie die kennwortbasierte Authentifizierung wie folgt deaktivieren.

Hinweis: Dies setzt voraus, dass Sie den SSH-Schlüsselaustausch bereits eingerichtet haben.

  • Ändern Sie / etc / ssh / sshd_config mit vi Editor
  • Fügen Sie die folgende Zeile hinzu oder kommentieren Sie sie aus, falls vorhanden

PasswordAuthentication No.

  • Laden Sie den SSH-Daemon neu

Schutz vor DDoS-Angriffen

DDoS (Distributed Denial of Service) kann bei auftreten jede Schicht, und dies ist das Letzte, was Sie als Geschäftsinhaber wollen.

Das Auffinden der Ursprungs-IP ist möglich. Als bewährte Methode sollten Sie Ihre Server-IP nicht dem öffentlichen Internet aussetzen. Es gibt mehrere Möglichkeiten, das “Ursprungs-IP”, Um das DDoS auf Ihrem Cloud- / VPS-Server zu verhindern.

Verwenden Sie einen Load Balancer (LB) – Implementieren Sie einen mit dem Internet verbundenen Load Balancer, damit die Server-IP nicht dem Internet ausgesetzt ist. Es gibt viele Load Balancer, aus denen Sie auswählen können – Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB usw..

Verwenden Sie ein CDN (Content Delivery Network). – CDN ist eine der besten Möglichkeiten, um die Leistung und Sicherheit von Websites zu verbessern.

Wenn Sie CDN implementieren, konfigurieren Sie den DNS A-Eintrag mit der vom CDN-Anbieter angegebenen Anycast-IP-Adresse. Auf diese Weise bewerben Sie die CDN-Anbieter-IP für Ihre Domain und Herkunft ist nicht ausgesetzt.

Es gibt viele CDN-Anbieter, um die Leistung der Website, den DDoS-Schutz und die WAF zu beschleunigen & viele andere Funktionen.

  • Cloudflare
  • StackPath
  • SUCURI
  • KeyCDN

Wählen Sie also den CDN-Anbieter aus, der die Leistung des Anbieters bereitstellt & Sicherheit beides.

Passen Sie die Kernel-Einstellungen an & iptables – Sie können iptables nutzen, um verdächtige Anfragen, Nicht-SYN, falsches TCP-Flag, privates Subnetz und mehr zu blockieren.

Neben iptables können Sie auch die Kerneleinstellungen konfigurieren. Javapipe hat es mit den Anweisungen gut erklärt, damit ich es hier nicht dupliziere.

Verwenden Sie eine Firewall – Wenn Sie sich eine hardwarebasierte Firewall leisten, ist dies hervorragend, andernfalls möchten Sie möglicherweise eine verwenden softwarebasierte Firewall Dadurch werden iptables genutzt, um die eingehende Netzwerkverbindung zur VM zu schützen.

Es gibt viele, aber eine der beliebtesten ist UFW (Unkomplizierte Firewall) für Ubuntu und FirewallD zum CentOS.

Regelmäßige Sicherung

Backup ist dein Freund! Wenn nichts funktioniert, wird das Backup Rettung Du.

Dinge können gehen falsch, Aber was ist, wenn Sie nicht über das erforderliche Backup zum Wiederherstellen verfügen? Die meisten Cloud- oder VPS-Anbieter bieten Backups gegen einen geringen Aufpreis an, und man sollte dies immer berücksichtigen.

Erkundigen Sie sich bei Ihrem VPS-Anbieter, wie Sie den Sicherungsdienst aktivieren können. Ich weiß, dass Linode und DO 20% der Tröpfchenpreise für das Backup berechnen.

Wenn Sie mit Google Compute Engine oder AWS arbeiten, planen Sie einen täglichen Snapshot.

Mit einem Backup können Sie schnell Stellen Sie die gesamte VM wieder her, Sie sind also wieder im Geschäft. Mit Hilfe eines Snapshots können Sie die VM klonen.

Regelmäßiges Update

Die Aktualisierung Ihres VM-Betriebssystems ist eine der wesentlichen Aufgaben, um sicherzustellen, dass Ihr Server keiner ausgesetzt ist neueste Sicherheitslücken.

Im Ubuntu, Sie können apt-get update verwenden, um sicherzustellen, dass die neuesten Pakete installiert sind.

In CentOS können Sie yum update verwenden

Lassen Sie keine geöffneten Häfen

Mit anderen Worten, lassen Sie nur die benötigten Ports zu.

Halten Sie unerwünschte offene Ports wie einen einladenden Angreifer, um die Vorteile zu nutzen. Wenn Sie Ihre Website nur auf Ihrer VM hosten, benötigen Sie höchstwahrscheinlich entweder Port 80 (HTTP) oder 443 (HTTPS)..

Wenn Sie auf sind AWS, Anschließend können Sie die Sicherheitsgruppe erstellen, um nur die erforderlichen Ports zuzulassen und sie der VM zuzuordnen.

Wenn Sie sich in Google Cloud befinden, lassen Sie die erforderlichen Ports mit “Firewall-Regeln.”

Wenn Sie VPS verwenden, wenden Sie den grundlegenden iptables-Regelsatz an, wie in erläutert Linode-Führung.

Das Obige soll Ihnen beim Härten und Sichern Ihres Servers helfen Besserer Schutz vor Online-Bedrohungen.

Alternative, Wenn Sie nicht bereit sind, Ihre VM zu verwalten, bevorzugen Sie möglicherweise Wolkenwege die mehrere Cloud-Plattformen verwalten. Und wenn Sie speziell nach Premium-WordPress-Hosting suchen, dann dieses.

STICHWORTE:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map