Berbicara tentang Ubuntu 10.04, edisi server, alat / praktik apa yang akan Anda rekomendasikan untuk mengamankan server?
Ini agak tidak spesifik, tetapi secara umum Anda harus melakukannya
Jalankan firewall seperti iptables atau ufw untuk mengelola koneksi ke port terbuka.
Instal hanya perangkat lunak yang Anda butuhkan.
Hanya menjalankan layanan yang penting untuk menjalankan server.
Selalu perbarui perangkat lunak itu dengan semua tambalan keamanan.
Siapkan pengguna baru dengan hak istimewa paling sedikit yang mereka perlukan untuk melakukan tugas mereka.
Jalankan denyhosts atau fail2ban untuk memeriksa serangan brute force.
Jalankan logwatch untuk mengirim email kepada Anda tentang segala keganjilan dalam file log.
Periksa log Anda sering untuk kegiatan yang mencurigakan.
Gunakan sudo selalu dan gunakan kata sandi yang kuat.
Nonaktifkan sandi kekuatan lemah dan sedang di SSL untuk apache, exim, proftpd, dovecot dll.
Setel layanan untuk hanya mendengarkan localhost (bila perlu).
Jalankan chkrootkit setiap hari.
Jalankan clamscan sesering yang diperlukan untuk memeriksa virus windows (jika perlu).
Waspada, ketahui server Anda, tahu apa yang seharusnya dilakukan dan apa yang seharusnya tidak dilakukan.
Anda hanya akan menjaga keamanan dengan memeriksa dan mengamankan secara konstan. Jika Anda tidak tahu apa yang dilakukan sesuatu atau bagaimana atau mengapa, atau sesuatu tampak mencurigakan, mintalah saran orang lain.
Jawaban yang luar biasa dari Richard Holloway. Jika Anda mencari panduan langkah demi langkah spesifik, periksa panduan 2 bagian berikut dari perpustakaan Slicehost.
Saya menggunakannya hampir di mana-mana ketika saya harus men-setup instance Server Ubuntu. Saya yakin Anda akan menyukainya.
Sumber hebat lainnya adalah Linode Library di http://library.linode.com/
Lihat artikel di kedua tempat. Banyak informasi tersedia di sana dan Anda akan dipersenjatai dengan pengetahuan yang cukup untuk menangani server Anda dengan baik.
PS: Tidak mungkin, perpustakaan dapat menjadi pengganti intuisi admin yang hebat, wawasan dan kemampuan pengambilan keputusan.
Sesuatu yang saya tidak lihat disebutkan adalah "gunakan 64bit". Ini memastikan Anda memiliki perlindungan memori NX, antara lain.
sumber
Tiga hal yang cenderung saya rekomendasikan adalah:
Pasang semua area yang dapat ditulis secara global (/ tmp, / var / tmp) sebagai 'noexec': Ini sebagian besar aman tanpa quirks, kecuali (pada saat penulisan) kecuali Anda memilih untuk meningkatkan sistem Anda. Lihat bug # 572723 di Launchpad untuk detail lebih lanjut di sana.
Jangan memasang kompiler atau assembler kecuali benar-benar diperlukan: Saya pikir ini cukup jelas.
Memulai dengan AppArmor: AppArmor dapat dilihat sebagai alternatif untuk SELinux, dan merupakan fitur hebat dari Ubuntu untuk menjalankan aplikasi kotak pasir untuk memastikan mereka tidak memiliki akses lebih dari yang mereka butuhkan. Saya sarankan meninjau panduan di forum jika Anda tertarik. http://ubuntuforums.org/showthread.php?t=1008906
sumber
sumber
Jika saya jadi Anda, saya akan melihat iptables (firewall Linux standar) dan melihat layanan apa yang berjalan. Pada dasarnya Anda hanya ingin menjalankan layanan yang Anda butuhkan, yaitu tidak menjalankan server web ketika Anda hanya ingin mengatur server email, dan hanya memiliki port terbuka yang sebenarnya Anda butuhkan. Yang lainnya harus dikunci!
Panduan untuk iptables: https://help.ubuntu.com/community/IptablesHowTo
Semoga ini membantu!
ps Jika Anda memerlukan bantuan lebih lanjut, silakan klik irc dan tekan # ubuntu-server channel di freenode
sumber
Untuk firewall, Anda bisa melihat @ Firestarter atau ufw dengan gufw .
sumber