Bagaimana Saya Dapat Mengamankan Instalasi VPS?

16

Apa langkah-langkah dasar untuk mengamankan instalasi VPS yang saya rencanakan untuk menginstal Webmin untuk meng-host blog dan proyek pribadi saya?

JFW
sumber
Ini akan membantu jika Anda memberikan detail OS.
Tim Post
Instalasi Linux-Kemungkinan besar adalah Ubuntu atau CentOS.
JFW

Jawaban:

13

Jawaban danlefree untuk pertanyaan serupa cukup relevan di sini: Seberapa sulitkah VPS yang tidak dikelola?

Mengamankan server lebih dari sekedar tugas satu kali.

Tugas satu kali awal meliputi:

  • Mengeras SSHd (ada sejumlah tips dan tutorial di luar sana untuk ini, ini adalah yang pertama yang terlihat bagus yang muncul dari pencarian.
  • Memastikan layanan yang tidak dibutuhkan dimatikan (atau lebih baik, dihapus).
  • Pastikan bahwa layanan yang tidak perlu tersedia untuk umum tidak tersedia. Sebagai contoh, konfigurasikan server database Anda untuk hanya mendengarkan pada antarmuka lokal dan / atau menambahkan aturan firewall untuk memblokir upaya koneksi eksternal.
  • Memastikan bahwa pengguna mana pun (s) proses server web Anda (dan layanan lainnya) berjalan karena tidak memiliki akses baca ke file / direktori tidak relevan untuk mereka dan tidak menulis ke hal lain kecuali mereka perlu akses tulis ke file / direktori yang dipilih (untuk menerima gambar yang diunggah misalnya).
  • Siapkan rutin pencadangan otomatis yang baik untuk menyimpan cadangan online (sebaiknya di server lain atau di rumah) sehingga konten Anda disalin di tempat lain sehingga Anda dapat memulihkannya jika hal terburuk terjadi pada server (menyelesaikan kerusakan yang tidak dapat dipulihkan, atau diretas)
  • Pelajari tentang semua alat yang telah Anda instal di server Anda (baca dokumentasi, mungkin instal pada lingkungan pengujian, katakan VM lokal di bawah virtualbox, untuk mencoba berbagai konfigurasi dan memecah + memperbaikinya) sehingga Anda memiliki peluang untuk dapat untuk memperbaiki masalah jika terjadi (atau setidaknya mendiagnosis masalah tersebut dengan benar sehingga Anda dapat membantu orang lain memperbaiki masalah). Anda akan berterima kasih pada diri sendiri atas waktu yang dihabiskan untuk hal ini di masa depan!

Tugas yang sedang berjalan meliputi:

  • Memastikan pembaruan keamanan untuk OS dasar Anda diterapkan tepat waktu. Alat-alat seperti apticron dapat digunakan untuk memberi Anda informasi tentang pembaruan yang perlu diterapkan. Saya akan menghindari pengaturan yang secara otomatis menerapkan pembaruan - Anda ingin meninjau apa yang akan berubah sebelum Anda menjalankan (dalam kasus debian / ubuntu) aptitude safe-upgrade, jadi Anda tahu apa yang akan dilakukan ke server Anda.
  • Pastikan bahwa pemutakhiran untuk setiap perpustakaan / aplikasi / skrip yang Anda instal secara manual (mis. Bukan dari repositori standar distribusi Anda menggunakan manajemen paket bawaan) juga dipasang secara tepat waktu. Lib / aplikasi / skrip tersebut mungkin memiliki milis sendiri untuk pengumuman pembaruan, atau Anda mungkin hanya perlu memantau situs web mereka secara teratur untuk mendapatkan informasi terbaru.
  • Terus mendapat informasi tentang masalah keamanan yang perlu diperbaiki oleh perubahan konfigurasi daripada paket yang ditambal atau yang perlu ditangani sekitar hingga paket yang ditambal dibuat + diuji + dirilis. Berlanggananlah ke milis terkait keamanan apa pun yang dijalankan oleh orang-orang yang menjaga distribusi Anda, dan awasi situs-situs teknologi yang juga dapat melaporkan masalah-masalah semacam itu.
  • Mengelola beberapa bentuk cadangan offline untuk paranoia tambahan. Jika Anda membuat cadangan server Anda ke mesin rumah, tulis salinan ke CD / DVD / USB-stick secara teratur.
  • Menguji cadangan Anda sesekali, sehingga Anda tahu mereka bekerja dengan benar. Cadangan yang belum diuji bukanlah cadangan yang baik. Anda tidak ingin server Anda mati dan kemudian mengetahui bahwa data Anda belum dicadangkan dengan benar selama beberapa bulan.

Semua distro Linux yang bagus menginstal ke keadaan yang cukup aman out-of-the-box (setidaknya setelah set pertama pembaruan ketika Anda menarik patch keamanan yang telah dirilis sejak CD instalasi / gambar ditekan / dirilis) sehingga pekerjaan tidak sulit, tetapi akan membutuhkan lebih banyak waktu untuk melakukannya dengan baik daripada yang Anda harapkan.

David Spillett
sumber
4

Hal hebat tentang VPS linux adalah mereka cukup aman di luar kotak. Rekomendasi pertama saya adalah berbicara dengan host Anda dan melihat apakah mereka akan mengeraskan atau mengoptimalkan keamanan untuk Anda. Kebanyakan VPS dengan panel kontrol (webmin, cpanel, dll) "dikelola" dan mereka akan melakukan banyak hal untuk Anda. Terutama jika Anda tidak yakin apa yang Anda lakukan ini adalah pilihan terbaik, menurut saya.

Jika Anda sendirian, lihat dulu firewall seperti APF (Advanced Policy Firewall?) Atau CSF (ConfigServer Firewall). CSF memiliki opsi deteksi kegagalan masuk, dan jika Anda mencoba untuk masuk dan gagal terlalu sering, CSF otomatis melarang alamat IP Anda. Saya tidak yakin bahwa ini "perlu" karena linux tidak merespons pada port yang tidak mendengarkan lalu lintas, tetapi mereka tentu saja menawarkan beberapa pemikiran. Dan jika Anda memiliki banyak port terbuka untuk berbagai lalu lintas, maka mungkin ya Anda menginginkan firewall.

Mungkin yang lebih penting, memastikan aplikasi yang Anda instal sudah mutakhir. Lebih banyak situs yang diretas melalui eksploitasi Wordpress (misalnya) daripada yang mereka lakukan melalui eksploit di OS server. Jika Anda adalah skrip pengkodean khusus, pastikan Anda juga mengawasi keamanan, karena Anda tidak ingin secara tidak sengaja meninggalkan pintu terbuka melalui sesuatu yang konyol seperti formulir kontak Anda.

elconejito
sumber
3

Mengamankan mesin apa pun, termasuk VPS, bukan resep yang tepat, tetapi Anda bisa mulai dengan tutorial dari 2 penyedia VPS utama: Linode Library dan Artikel Slicehost

intlect
sumber
2
  • Hapus layanan yang tidak diinginkan ( netstat adalah teman Anda)

  • Nonaktifkan iklan layanan (mengungkapkan nomor versi Anda bagus untuk Scriptkiddies )

  • Ubah nomor port administratif (bukan publik) menjadi sesuatu yang tidak jelas (SSH pada 22 hanya akan terus dipindai)

  • Tentukan kuota dan batas Anda: cgroups , limit.conf , qos , dll - dan secara aktif pantau - jika kode pengembang web atau serangan DDoS merobohkan situs Anda dan membuat kotak Anda tidak dapat dijangkau maka akan terlambat untuk memperbaikinya

  • Beberapa distro memiliki profil SELinux / AppArmor / etc untuk aplikasi berbasis jaringan, gunakanlah

Tiga yang pertama dapat dilakukan melalui WebMin (dalam mode). Anda mungkin ingin melihat melalui ServerFault untuk ini.

Metalshark
sumber
1

Saya melihat bahwa Anda menyebutkan webmin sehingga akan menjadi kotak Linux. Silakan periksa dokumentasi distro Linux tertentu yang akan Anda instal di server itu.

Untuk CentOS lihat ini http://wiki.centos.org/HowTos/OS_Protection

Cristi
sumber
1

Hanya beberapa poin. - Ubah port SSH Anda. - Nonaktifkan daftar direktori file. - hapus tanda tangan server, token. - instal beberapa firewall

ada banyak hal lagi..saya hanya mengatakan hal-hal yang datang kepada saya sekarang ..

Vamsi Krishna B
sumber