Come posso proteggere un'installazione VPS?

Quali sono i passaggi di base per proteggere un'installazione VPS su cui prevedo di installare Webmin per ospitare i miei blog e progetti personali?

La risposta di danlefree a questa domanda simile è abbastanza rilevante qui: quanto è difficile un VPS non gestito?

La protezione di un server è più di una semplice attività.

Le attività una tantum iniziali includono:

• Hardening SSHd (ci sono una serie di suggerimenti ed esercitazioni disponibili per questo, questo è stato il primo bello che è venuto fuori da una ricerca.
• Assicurarsi che i servizi non necessari siano disattivati ​​(o meglio, disinstallati).
• Assicurarsi che i servizi che non devono essere disponibili al pubblico non lo siano. Ad esempio, configura il tuo server database per l'ascolto solo su interfacce locali e / o aggiungi regole firewall per bloccare i tentativi di connessione esterni.
• Accertarsi che tutti gli utenti che il tuo server Web (e altri servizi) stiano eseguendo in quanto non hanno accesso in lettura a file / directory non rilevanti per loro e non scrivono ad altro a meno che non necessitino di accesso in scrittura a file / directory selezionati (per accettare immagini caricate per esempio).
• Configurare una buona routine di backup automatico per mantenere i backup online (preferibilmente su un altro server o a casa) in modo che il contenuto venga copiato altrove in modo da poterlo recuperare nel caso in cui si verifichi il peggio sul server (arresto anomalo irreversibile completo o violazione)
• Scopri tutti gli strumenti che hai installato sul tuo server (leggi la documentazione, magari installali in un ambiente di test, ad esempio una VM locale in virtualbox, per provare diverse configurazioni e romperle + sistemarle) in modo da avere la possibilità di essere in grado per risolvere i problemi se si verificano (o almeno diagnosticare correttamente tali problemi in modo da poter aiutare qualcun altro a risolvere il problema). Ti ringrazierai per il tempo dedicato a questo ad un certo punto in futuro!

Le attività in corso includono:

• Assicurarsi che gli aggiornamenti di sicurezza per il sistema operativo di base vengano applicati in modo tempestivo. Strumenti come apticron possono essere utilizzati per tenervi informati sugli aggiornamenti che devono essere applicati. Eviterei le configurazioni che applicano automaticamente gli aggiornamenti - vuoi rivedere cosa sta per cambiare prima di eseguire (nel caso di debian / ubuntu) aptitude safe-upgrade, quindi sai cosa sta per essere fatto sul tuo server.
• Assicurati che anche gli aggiornamenti a tutte le librerie / app / script che installi manualmente (ovvero non dai repository standard delle tue distribuzioni utilizzando la gestione dei pacchetti integrata) siano installati in modo tempestivo. Tali librerie / app / script potrebbero avere le proprie mailing list per l'annuncio degli aggiornamenti, oppure potresti dover semplicemente monitorare regolarmente i loro siti Web per tenerti informato.
• Tenersi informati sui problemi di sicurezza che devono essere corretti dalle modifiche di configurazione piuttosto che dai pacchetti con patch o che devono essere risolti fino a quando un pacchetto con patch viene creato + testato + rilasciato. Iscriviti a tutte le mailing list relative alla sicurezza gestite dalle persone che gestiscono la tua distribuzione e tieni d'occhio i siti tecnologici che potrebbero anche segnalare tali problemi.
• Gestire una qualche forma di backup offline per paranoia extra. Se si esegue il backup del server su una macchina domestica, scrivere una copia su CD / DVD / chiavetta USB su base regolare.
• Testare i backup occasionalmente, in modo da sapere che funzionano correttamente. Un backup non testato non è un buon backup. Non vuoi che il tuo server muoia e poi scopri che non è stato eseguito correttamente il backup dei dati per alcuni mesi.

Tutte le distro Linux valide vengono installate in uno stato ragionevolmente sicuro e pronto all'uso (almeno dopo il primo set di aggiornamenti quando si inseriscono le patch di sicurezza rilasciate da quando è stato premuto / rilasciato il CD / immagine di installazione) il lavoro non è difficile, ma ci vorrà più tempo per fare bene di quanto ci si possa aspettare.

La cosa grandiosa di un VPS Linux è che sono abbastanza sicuri e pronti all'uso. La mia prima raccomandazione però è di parlare con il tuo host e vedere se renderanno più duro o ottimizzeranno la sicurezza per te. La maggior parte dei VPS con un pannello di controllo (webmin, cpanel, ecc.) Sono "gestiti" e faranno molto per te. Soprattutto se non sei sicuro di quello che stai facendo, questa è la scelta migliore, secondo me.

Se sei da solo, guarda prima un firewall come APF (Advanced Policy Firewall?) O CSF (ConfigServer Firewall). CSF ha l'opzione di un rilevamento degli errori di accesso e se si tenta di accedere e fallire una volta troppe volte, viene automaticamente vietato il proprio indirizzo IP. Non sono sicuro che questi siano "necessari" dal momento che Linux non risponde su porte che non sta ascoltando per il traffico, ma sicuramente offrono qualche idea. E se hai molte porte aperte per una varietà di traffico, forse sì, vuoi un firewall.

Probabilmente più importante, è assicurarsi che le applicazioni installate siano aggiornate. Un numero maggiore di siti viene violato tramite un exploit Wordpress (ad esempio) rispetto a un exploit nel sistema operativo del server. Se sei script di codifica personalizzati assicurati di tenere d'occhio anche la sicurezza, poiché non vuoi lasciare inavvertitamente una porta aperta attraverso qualcosa di stupido come il tuo modulo di contatto.

Proteggere qualsiasi macchina, VPS incluso, non è una ricetta esatta, ma puoi iniziare con le esercitazioni di 2 principali fornitori di VPS: Linode Library e Slicehost Articoli

• Rimuovere i servizi indesiderati ( netstat è tuo amico)

• Disabilita la pubblicità del servizio (rivelare i numeri di versione è ottimo per Scriptkiddies )

• Cambia i numeri di porta amministrativi (non pubblici) in qualcosa di oscuro (SSH su 22 verrà scansionato continuamente)

• Calcola le tue quote e i tuoi limiti: cgroups , limits.conf , qos , ecc. E monitorali attivamente se un codice degli sviluppatori web o un attacco DDoS abbatte il tuo sito e rende irraggiungibile la tua scatola, sarà troppo tardi per risolvere

• Alcune distro hanno profili SELinux / AppArmor / etc per le app di rete, usale

I primi tre possono essere eseguiti tramite WebMin (in un modo). Tuttavia, potresti voler esaminare ServerFault .

Vedo che menzioni webmin, quindi sarà una scatola Linux. Controlla la documentazione della particolare distribuzione Linux che installerai su quel server.

Per CentOS consultare questo http://wiki.centos.org/HowTos/OS_Protection

Solo alcuni punti. - Cambia la tua porta SSH. - disabilita l'elenco delle directory dei file. - rimuovere la firma del server, i token. - installa un firewall

ci sono molte altre cose..ho appena detto cose che sono arrivate al mio ora ..