Como proteger uma nova instalação do SO do servidor [fechada]

Navegue suas respostas
1

Eu comprei (e acabei de receber) um novo 1u dell poweredge 860 (consegui no ebay por US $ 35).

Eu terminei de instalar o Ubuntu Server (Ubuntu Server 12.04.3 LTS), instale o apache / mariadb / memcache / php5

funciona muito bem, mas tenho medo de segurança.

até agora eu sou o único usando o servidor mas eventualmente mais pessoas (amigos, amigos de amigos) usarão este servidor, use ssh etc ...

Eu quero saber o que posso fazer para proteger todas as informações e não ser hackeado, tanto da web quanto de ssh ou ddos e qualquer outro ataque possível.

O Ubuntu Server faz isso para você imediatamente? ou eu tenho que consertar meu eu?

Obrigado

EDITAR:

Eu instalei (até agora):

  • Todas as ferramentas de desenvolvimento
  • servidor ssh
  • LÂMPADA

Eu não instalei:

  • Interface gráfica
por Pat R Ellery 11.11.2013 / 15:33

2 respostas

2

A pesquisa pode ser realmente útil;

link

Da resposta acima;

Here is a list of things I do to secure my server.

Turn on UFW (sudo ufw enable) and then only allow ports that are actually used. (sudo ufw allow 80)

Make sure MySQL only allows connections from localhost.

Enable TLS on mail services. Even if it's a self signed cert. You don't want passwords sent in the clear.

Install ssh bruteforce blockers like denyhosts or fail2ban. (sudo apt-get install denyhosts) Look into making ssh key-based logins only.

Learn AppArmor. If you use fairly vanilla configurations, then it's extremely easy. Just make sure it's turned on. It will help reduce zero-day exploits.

Depending on physical access to the server, you may even want to look at encrypting the data on the harddisk.

Follow other recommendations in this link. EDIT: I forgot to edit this when I didn't have enough reputation to add more links. The link meant here is the last link below.

Never trust your users. If you are having multiple users with access to the system, lock them down. If you have to give them sudo access, give them only what they need.

Use common sense. Think real hard about how you'd get in if you were ever locked out. Then close those holes.

Você deve procurar por "Ubuntu Hardening" e dar uma olhada na longa lista que você receberá de volta.

O UFW, mencionado na citação acima, significa Firewall Descomplicado ( link ), que é uma ótima e fácil maneira de gerenciar o IPTables.

Em relação aos ataques do tipo DDNS, talvez você queira considerar o emparelhamento do NGINX como um proxy estático de front-end para o Apache se estiver servindo conteúdo da Web e empregar algo como o CloudFlare para lidar com o DNS e a resiliência.

Há muitos artigos sobre boas práticas e configuração de serviços na Digital Ocean;

link

O site irmão do AskUbuntu é também uma riqueza de conhecimentos e ajuda relacionados ao seu SO;

link

    
por 11.11.2013 / 16:24
0

Este é o artigo que eu achei mais útil - link

A coisa toda levou apenas algumas horas para passar, a maior parte do tempo sendo gasto na mod_security parte como havia uma incompatibilidade com algumas das regras OWASP mais recentes e eu tive que reverter para uma versão anterior (NB v2.2.5 funcionou bem eo instruções explicam como aplicar um conjunto de regras anterior).

    
por 11.11.2013 / 17:56

Tags

Exchange 2013 - Registros DNS para aceitar vários domínios Eu adicionei algumas opções para parar spam com o Postfix, mas agora não vai enviar e-mail para domínios remotos