Kuidas kaitsta ja kõvendada pilve VM-i (Ubuntu & CentOS)?

OS-i turvamine on sama oluline kui teie veebisait, veebirakendused ja veebiettevõtted.


Võib-olla kulutate oma saidi kaitsmiseks turbe plugina, WAF-i ja pilvepõhist turvalisust (kiht 7), kuid OS-i jätamata jätmine võib olla seotud ohtlik.

Suundumus on selline muutuvad.

Veeb liigub pilve jagatud hostimisse, et saada mitmeid eeliseid.

  • Kiirem reageerimisaeg, kuna ressursse ei jaga ükski teine ​​kasutaja
  • Täielik juhtimine tehnikatänaval
  • Operatsioonisüsteemi täielik kontroll
  • Odav

“Suure võimuga kaasneb suur vastutus”

Sa saad kõrgem kontroll oma veebisaidi hostimisel pilve VM-is, kuid see nõuab teie VM-i haldamiseks natuke süsteemiadministraatori oskusi.

Kas sa oled valmis selle eest?

Märkus. Kui te pole nõus oma aega sellesse investeerima, saate valida Pilves kes haldavad AWS-i, Google Cloud, Digital Ocean, Linode, Vultr & Kyup VM.

Saame sisse a praktiline juhend Ubuntu ja CentOS VM turvamiseks.

SSH vaikepordi muutmine

Vaikimisi kuulab SSH deemon sisse pordi number 22. See tähendab, et kui keegi leiab teie IP-st, võib ta proovida teie serveriga ühenduse luua.

Võimalik, et nad ei pääse serverisse, kui olete turvatud keeruka parooliga. Kuid nad võivad serveri töö häirimiseks käivitada julma jõu rünnakuid.

Parim on muuta SSH-port millekski muuks, ehkki kui keegi teab IP-d, siis nad seda teevad ei saa ühendust luua kasutades vaikimisi SSH-porti.

Ubuntu / CentOS-is SSH-pordi muutmine on väga lihtne.

  • Logige oma VM-i sisse juurõigusega
  • Varundage fail sshd_config (/ etc / ssh / sshd_config)
  • Avage fail VI redigeerija abil

vi / etc / ssh / sshd_config

Otsige rida, millel on port 22 (tavaliselt faili alguses)

# Milliseid sadamaid, IP-sid ja protokolle me kuulame
22. sadam

  • Muutke 22 mõnele teisele numbrile (veenduge, et mäletan kui teil on seda ühenduse loomiseks vaja). Ütleme nii, et 5000

Port 5000

  • Salvestage fail ja taaskäivitage SSH deemon

teenuse sshd taaskäivitamine

Nüüd ei saa te ega keegi teine ​​oma serveriga SSH-i vaikepordi kaudu ühenduse luua. Selle asemel võite ühenduse loomiseks kasutada uut porti.

Kui kasutate MAC-is SSH-klienti või -terminali, saate kohandatud pordi määratlemiseks kasutada nuppu -p.

ssh -p 5000 [e-posti aadress on kaitstud]

Lihtne, kas pole??

Kaitse julma jõu rünnakute eest

Üks levinumaid mehhanisme, mida a häkker Veebiettevõtte üle kontrolli võtmiseks on julma jõu rünnakute algatamine serveri ja veebiplatvormi (nt WordPress, Joomla jne) vastu..

See võib nii olla ohtlik kui seda ei võeta tõsiselt. Seal on kaks populaarsed programmid, mida saate kasutada Linuxi kaitsmiseks jõhkra jõu eest.

SSH kaardivägi

SSHGuard jälgib jooksvaid teenuseid süsteemi logifailidest ja blokeerib korduvad halvad sisselogimiskatsed.

Algselt oli see mõeldud SSH sisselogimise kaitse, kuid nüüd toetab see paljusid teisi.

  • Puhas FTP, PRO FTP, VS FTP, FreeBSD FTP
  • Exim
  • Kirja saatma
  • Dovecot
  • Cucipop
  • UWimap

SSHGuardi saate installida järgmiste käskudega.

Ubuntu:

apt-get install SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
p / min-võlli varjestus-1,5-7,1.x86_64.rpm

Fail2Ban

Fail2Ban on veel üks populaarne programm SSH kaitsmiseks. Fail2Ban värskendab automaatselt iptable’i reeglit, kui ebaõnnestunud sisselogimiskatse jõuab määratletud läveni.

Fail2Bani installimine Ubuntusse:

apt-get install fail2ban

ja installida CentOSesse:

yum install epel-release
yum install fail2ban

SSH Guard ja Fail2Ban peaksid olema SSH sisselogimise kaitsmiseks piisavad. Kui peate siiski rohkem uurima, võite viidata järgnevale.

Keela paroolipõhine autentimine

Kui logite oma serverisse sisse ühest või kahest arvutist, saate seda kasutada SSH-võti põhinev autentimine.

Kui teil on aga mitu kasutajat ja logite sageli sisse mitmest avalikust arvutist, võib iga kord võtme vahetamine olla tülikas.

Seega, kui otsustate paroolipõhise autentimise keelata, lähtudes olukorrast, saate seda teha järgmiselt.

Märge: see eeldab, et olete juba SSH-võtmevahetuse seadistanud.

  • Muutke rakendust / etc / ssh / sshd_config vi toimetaja
  • Lisage järgmine rida või tühistage see, kui see on olemas

ParoolAutentimisnumber

  • Laadige SSH deemon uuesti üles

Kaitsmine DDoS-rünnakute eest

DDoS (Distributed Denial of Service) võib juhtuda kell mis tahes kiht, ja see on viimane asi, mida ettevõtte omanikuna soovite.

Päritoluprotsendi leidmine on võimalik ja hea tava kohaselt ei tohiks te oma serveri IP-d avalikku Internetti paljastada. „“Päritolu IP”, Et vältida DDoS-i teie pilve / VPS-serveris.

Kasutage koorma tasakaalustajat (LB) – rakendage Interneti-põhine koormuse tasakaalustaja, nii et serveri IP pole Internetiga kokku puutunud. Koormusbilanssereid saate valida paljude vahel – Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB jne..

Kasutage CDN-i (sisu edastamise võrk) – CDN on üks suurepäraseid viise veebisaidi toimivuse ja turvalisuse parandamiseks.

CDN-i juurutamisel konfigureerite DNS A-kirje CDN-teenuse pakkuja antud IP-aadressiga. Seda tehes reklaamite oma domeeni CDN-pakkuja IP-d ja päritolu pole paljastatud.

Veebisaidi jõudluse kiirendamiseks on palju CDN-i pakkujaid, DDoS-kaitset, WAF-i & palju muid funktsioone.

  • Pilv
  • StackPath
  • SUCURI
  • KeyCDN

Nii et vali CDN pakkuja, kes pakub jõudlust & turvalisus mõlemad.

Kohandage kerneli sätteid & iptables – saate kasutada iptable’i, et blokeerida kahtlased taotlused, mitte-SYN, võlts TCP lipp, privaatne alamvõrk ja palju muud.

Lisaks iptable’idele saate konfigureerida ka kerneli sätteid. Javapipe on seda juhistega hästi selgitanud, nii et ma ei tee seda siin.

Kasutage tulemüüri – Kui teil on riistvarapõhine tulemüür, siis on see suurepärane, vastasel juhul võiksite kasutada a tarkvarapõhine tulemüür mis kasutab iptable’e sissetuleva võrguühenduse kaitsmiseks VM-iga.

Neid on palju, kuid üks populaarsemaid on UFW (Tüsistusteta tulemüür) jaoks Ubuntu ja TulemüürD jaoks CentOS.

Regulaarne varundamine

Varundamine on teie sõber! Kui miski ei tööta, tehakse varukoopia päästmine sina.

Asjad võivad minna vale, aga mis siis, kui teil pole taastamiseks vajalikku varukoopiat? Enamik pilve- või VPS-teenuse pakkujaid pakuvad varukoopiaid väikese lisatasu eest ja sellega tuleks alati arvestada.

Kuidas varuteenust lubada, küsige VPS-i pakkujalt. Ma tean, et Linode ja ma võtan varukoopia eest 20% tilkade hinnast.

Kui kasutate Google Compute Engine’i või AWS-i, siis kavandage igapäevane ülevaade.

Varukoopia olemasolu võimaldab teil seda kiiresti teha taastada kogu VM, nii et olete tagasi äris. Või piltide abil saate VM-i kloonida.

Regulaarne värskendus

VM-i OS-i ajakohastamine on üks olulisi ülesandeid, et tagada teie serveri puutumatus ühegi poole uusimad turvaaukud.

Sisse Ubuntu, võite kasutada värskendust apt-get, et tagada uusimate pakettide installimine.

CentOS-is saate kasutada värskendust yum

Ärge lahkuge avatud sadamatest

Teisisõnu lubage ainult vajalikud pordid.

Hoidke soovimatud avatud pordid nagu kutsuvad ründajad ära. Kui majutate oma veebisaiti lihtsalt oma VM-is, siis peate kõige tõenäolisemalt kas pordi 80 (HTTP) või 443 (HTTPS).

Kui olete peal AWS, siis saate luua turvarühma, et lubada ainult nõutavad pordid ja seostada need VM-iga.

Kui olete Google Cloudis, lubage vajalikud pordid, kasutades nuppu „tulemüüri reeglid.”

Ja kui kasutate VPS-i, siis rakendage iptable’i põhireegleid, nagu on selgitatud jaotises Linode juhend.

Ülaltoodu peaks aitama teil oma serverit kõvendada ja turvaliseks kasutada parem kaitse veebiohtude eest.

Teise võimalusena, kui te pole valmis oma VM-i haldama, võite eelistada Pilves kes haldavad mitut pilveplatvormi. Ja kui otsite spetsiaalselt WordPressi premium-hostingut, siis see üks.

Sildid:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map