Come proteggere e proteggere il cloud VM (Ubuntu e CentOS)?

La protezione del sistema operativo è importante quanto il tuo sito Web, applicazioni Web, attività online.


Potresti spendere in plug-in di sicurezza, WAF, sicurezza basata su cloud per proteggere il tuo sito (Livello 7) ma lasciare il sistema operativo non rafforzato può essere pericoloso.

La tendenza è mutevole.

Il Web sta passando al cloud dall’hosting condiviso per molteplici vantaggi.

  • Tempi di risposta più rapidi poiché le risorse non sono condivise da nessun altro utente
  • Pieno controllo su uno stack tecnologico
  • Pieno controllo del sistema operativo
  • A basso costo

“Con un grande potere viene una grande responsabilità”

Hai capito maggiore controllo nell’hosting del sito Web su VM cloud, ma ciò richiede un po ‘di competenze di amministratore di sistema per gestire la VM.

Tu sei pronto per questo?

Nota: se non sei disposto a investire il tuo tempo, puoi scegliere CloudWays che gestiscono AWS, Google Cloud, Digital Ocean, Linode, Vultr & Kyup VM.

Entriamo in a guida pratica per proteggere Ubuntu e CentOS VM.

Modifica della porta predefinita SSH

Per impostazione predefinita, il demone SSH è in ascolto numero porta 22. Ciò significa che se qualcuno trova il tuo IP può tentare di connettersi al tuo server.

Potrebbero non essere in grado di accedere al server se si è protetti con una password complessa. Tuttavia, possono lanciare attacchi di forza bruta per disturbare il funzionamento del server.

La cosa migliore è cambiare la porta SSH in qualcos’altro, quindi anche se qualcuno conosce l’IP, loro Impossibile tentare di connettersi utilizzando la porta SSH predefinita.

Cambiare la porta SSH in Ubuntu / CentOS è molto semplice.

  • Accedi alla tua VM con il privilegio di root
  • Effettua un backup di sshd_config (/ etc / ssh / sshd_config)
  • Apri il file usando l’editor VI

vi / etc / ssh / sshd_config

Cerca la linea che ha la porta 22 (di solito all’inizio del file)

# Quali porte, IP e protocolli ascoltiamo
Porta 22

  • Cambia 22 in un altro numero (assicurati di ricorda come ti servirà per connetterti). Diciamo 5000

Porta 5000

  • Salvare il file e riavviare il demone SSH

servizio riavvio sshd

Ora, tu o chiunque non sarà in grado di connettersi al server utilizzando la porta predefinita SSH. Invece, è possibile utilizzare la nuova porta per connettersi.

Se si utilizza client SSH o Terminale su MAC, è possibile utilizzare -p per definire la porta personalizzata.

ssh -p 5000 [Email protected]

Facile, non è così?

Protezione dagli attacchi di forza bruta

Uno dei meccanismi comuni utilizzati da a pirata prendere il controllo del tuo business online è lanciando attacchi di forza bruta contro il server e la piattaforma web come WordPress, Joomla, ecc..

Questo può essere pericoloso se non preso sul serio. Ci sono Due programmi popolari che puoi usare per proteggere Linux dalla forza bruta.

Guardia SSH

SSHGuard controlla i servizi in esecuzione dai file di registro di sistema e blocca ripetuti tentativi di accesso errati.

Inizialmente, era pensato per Protezione dell’accesso SSH, ma ora supporta molti altri.

  • FTP puro, FTP PRO, VS FTP, FreeBSD FTP
  • exim
  • Inviare una mail
  • Dovecot
  • Cucipop
  • UWimap

È possibile ottenere SSHGuard installato con i seguenti comandi.

Ubuntu:

apt-get install SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

fail2ban

Fail2Ban è un altro programma popolare per proteggere SSH. Fail2Ban aggiorna automaticamente la regola iptables se un tentativo di accesso fallito raggiunge la soglia definita.

Per installare Fail2Ban in Ubuntu:

apt-get install fail2ban

e da installare in CentOS:

yum installa epel-release
yum installa fail2ban

SSH Guard e Fail2Ban dovrebbero essere sufficienti per proteggere l’accesso SSH. Tuttavia, se è necessario esplorare di più, è possibile fare riferimento a quanto segue.

Disabilitare l’autenticazione basata su password

Se accedi al tuo server da uno o due computer, puoi usarlo Chiave SSH autenticazione basata.

Tuttavia, se si dispone di più utenti e si accede spesso da più computer pubblici, potrebbe essere problematico scambiare le chiavi ogni volta.

Pertanto, in base alla situazione, se si sceglie di disabilitare l’autenticazione basata su password, è possibile farlo come segue.

Nota: questo presuppone che tu abbia già impostato lo scambio di chiavi SSH.

  • Modifica / etc / ssh / sshd_config usando VI editore
  • Aggiungi la seguente riga o decommentala se esiste

Password autenticazione n

  • Ricarica il demone SSH

Protezione dagli attacchi DDoS

DDoS (Distributed Denial of Service) può succedere a qualsiasi strato, e questa è l’ultima cosa che desideri come imprenditore.

Trovare l’IP di origine è possibile e, come best practice, non dovresti esporre l’IP del tuo server a Internet pubblico. Esistono diversi modi per nascondere il “Origine IP“Per impedire il DDoS sul tuo server cloud / VPS.

Utilizzare un bilanciamento del carico (LB) – implementare un bilanciamento del carico rivolto a Internet, in modo che l’IP del server non sia esposto a Internet. Esistono molti servizi di bilanciamento del carico tra cui scegliere: Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB, ecc..

Utilizzare un CDN (Content Delivery Network) – La CDN è uno dei modi migliori per migliorare le prestazioni e la sicurezza del sito Web.

Quando si implementa la rete CDN, si configura il record DNS A con l’indirizzo IP anycast fornito dal provider CDN. In questo modo, stai pubblicizzando l’IP del provider CDN per il tuo dominio e l’origine non è esposta.

Esistono molti provider CDN per accelerare le prestazioni del sito Web, la protezione DDoS, WAF & molte altre funzionalità.

  • Cloudflare
  • StackPath
  • Sucuri
  • KeyCDN

Quindi scegli il provider CDN che fornisce le prestazioni & sicurezza entrambi.

Modifica le impostazioni del kernel & iptables – puoi sfruttare iptables per bloccare richieste sospette, non SYN, flag TCP fasulli, sottorete privata e altro.

Insieme a iptables, puoi anche configurare le impostazioni del kernel. Javapipe lo ha spiegato bene con le istruzioni in modo da non duplicarlo qui.

Usa un firewall – Se ti permetti un firewall basato su hardware, allora eccellente altrimenti potresti voler usare a firewall basato su software che sfrutta iptables per proteggere la connessione di rete in entrata alla VM.

Ce ne sono molti, ma uno dei più popolari è UFW (Firewall semplice) per Ubuntu e FirewallD per CentOS.

Backup regolare

Il backup è tuo amico! Quando non funziona nulla, il backup funzionerà salvare voi.

Le cose possono andare sbagliato, ma cosa succede se non si dispone del backup necessario per il ripristino? La maggior parte dei provider di cloud o VPS offre il backup con un piccolo costo aggiuntivo e si dovrebbe sempre considerare.

Verificare con il proprio provider VPS come abilitare il servizio di backup. Conosco Linode e faccio pagare il 20% dei prezzi delle goccioline per il backup.

Se utilizzi Google Compute Engine o AWS, pianifica un’istantanea giornaliera.

Avere un backup ti permetterà rapidamente di farlo ripristinare l’intera macchina virtuale, quindi sei di nuovo in affari. O con l’aiuto di un’istantanea, è possibile clonare la VM.

Aggiornamento regolare

Mantenere aggiornato il sistema operativo VM è una delle attività essenziali per garantire che il server non sia esposto a nessuno le ultime vulnerabilità di sicurezza.

In Ubuntu, puoi usare apt-get update per assicurarti che siano installati gli ultimi pacchetti.

In CentOS, è possibile utilizzare l’aggiornamento yum

Non lasciare i porti aperti

In altre parole, consentire solo le porte necessarie.

Mantenere le porte aperte indesiderate come un invitante attaccante per trarne vantaggio. Se stai semplicemente ospitando il tuo sito Web sulla tua VM, molto probabilmente avrai bisogno della porta 80 (HTTP) o 443 (HTTPS).

Se sei acceso AWS, quindi è possibile creare il gruppo di sicurezza per consentire solo le porte richieste e associarle alla VM.

Se sei su Google Cloud, consenti le porte necessarie utilizzando “regole del firewall.”

E se si utilizza VPS, applicare il set di regole iptables di base come spiegato in Guida Linode.

Quanto sopra dovrebbe aiutarti a rafforzare e proteggere il tuo server migliore protezione dalle minacce online.

In alternativa, se non sei pronto a gestire la tua VM, allora potresti preferire CloudWays che gestiscono più piattaforme cloud. E se stai specificatamente cercando un hosting WordPress premium, questo qui.

TAGS:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map