Kuinka suojata ja kovettaa Cloud VM (Ubuntu & CentOS)?

OS: n turvaaminen on yhtä tärkeää kuin verkkosivustosi, verkkosovelluksesi ja online-liiketoiminta.


Voit kuluttaa tietoturvalaajennuksen, WAF: n ja pilvipohjaisen tietoturvan sivustosi suojelemiseksi (kerros 7), mutta käyttöjärjestelmän jättäminen kovettumattomaksi voi olla vaarallinen.

Suuntaus on vaihtaa.

Web siirtyy Cloudiin jaetusta isännöinnistä monien etujen saamiseksi.

  • Nopeampi vastausaika, koska kukaan muu käyttäjä ei jaa resursseja
  • Täysi hallinta tech-pinossa
  • Käyttöjärjestelmän täydellinen hallinta
  • Halpa

“Suurella voimalla tulee suuri vastuu”

Saat korkeampi hallinta Web-sivustosi ylläpitämisessä pilvi-VM: ssä, mutta se vaatii vähän järjestelmänvalvojan taitoja VM: n hallintaan.

Oletko valmis sitä varten?

Huomaa: jos et halua sijoittaa aikasi siihen, voit valita Cloudways jotka hallitsevat AWS: ää, Google Cloudia, Digital Oceania, Linodea, Vultria & Kyup VM.

Mennään a käytännöllinen opas suojata Ubuntu ja CentOS VM.

SSH-oletusportin muuttaminen

Oletuksena SSH-demoni kuuntelee porttinumero 22. Tämä tarkoittaa, että jos joku löytää IP-osoitteesi, yritetään muodostaa yhteys palvelimeesi.

He eivät ehkä pääse palvelimeen, jos olet suojattu monimutkaisella salasanalla. He voivat kuitenkin käynnistää raa’at voimahyökkäykset palvelimen toiminnan häiritsemiseksi.

Parasta on muuttaa SSH-portti jotain muuta, vaikka he tietäisivät IP: n, jos joku tuntee IP: n ei voi yrittää muodostaa yhteyttä käyttämällä oletus-SSH-porttia.

SSH-portin vaihtaminen Ubuntu / CentOS-sovelluksessa on erittäin helppoa.

  • Kirjaudu sisään VM: ään pääoikeuksella
  • Varmuuskopio sshd_config-tiedostosta (/ etc / ssh / sshd_config)
  • Avaa tiedosto VI-editorilla

vi / etc / ssh / sshd_config

Etsi rivi, jolla on portti 22 (yleensä tiedoston alussa)

# Mitä portteja, IP: itä ja protokollia kuuntelemme
Portti 22

  • Vaihda 22 toiseen numeroon (varmista, että muistaa kun tarvitset sitä yhteyden muodostamiseksi). Sanotaan 5000

Portti 5000

  • Tallenna tiedosto ja käynnistä SSH-demoni uudelleen

palvelun sshd-käynnistys uudelleen

Nyt sinä tai kukaan ei voi muodostaa yhteyttä palvelimellesi SSH-oletusportin avulla. Sen sijaan voit käyttää uutta porttia yhteyden muodostamiseen.

Jos käytät MAC: lla SSH-asiakasohjelmaa tai päätelaitetta, voit määrittää mukautetun portin näppäimellä -p.

ssh -p 5000 [Email protected]

Helppo, eikö se ole?

Suojaaminen raa’ilta voimahyökkäyksiltä

Yksi yleisimmistä mekanismeista, joita a hakkeri hallita online-liiketoimintaasi aloittamalla raa’at voimahyökkäykset palvelimia ja verkkoalustoja, kuten WordPress, Joomla, jne. vastaan..

Tämä voi olla vaarallinen ellei sitä oteta vakavasti. Siellä on kaksi suositut ohjelmat, joilla voit suojata Linuxia raa’alta voimalta.

SSH-vartija

SSHGuard tarkkailee käynnissä olevia palveluita järjestelmän lokitiedostoista ja estää toistuvia huonoja kirjautumisyrityksiä.

Alun perin se oli tarkoitettu SSH-kirjautumissuojaus, mutta nyt se tukee monia muita.

  • Puhdas FTP, PRO FTP, VS FTP, FreeBSD FTP
  • exim
  • Lähetä postia
  • Dovecot
  • Cucipop
  • UWimap

Voit asentaa SSHGuardin seuraavilla komennoilla.

ubuntu:

apt-get install SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

fail2ban

Fail2Ban on toinen suosittu ohjelma SSH: n suojaamiseksi. Fail2Ban päivittää automaattisesti iptables-säännön, jos epäonnistunut kirjautumisyritys saavuttaa määritellyn kynnyksen.

Fail2Banin asentaminen Ubuntuun:

apt-get install fail2ban

ja asentaa CentOS: iin:

yum install epel-release
yum install fail2ban

SSH Guardin ja Fail2Banin tulisi olla riittäviä suojaamaan SSH sisäänkirjautumista. Jos sinun on kuitenkin tutkittava enemmän, saatat viitata seuraavaan.

Poista salasanapohjainen todennus käytöstä

Jos kirjaudut sisään palvelimelle yhdestä tai kahdesta tietokoneesta, voit käyttää SSH-avain perustuva todennus.

Jos sinulla on kuitenkin useita käyttäjiä ja kirjaudut usein sisään useilta julkisilta tietokoneilta, voi olla vaikeaa vaihtaa avainta joka kerta.

Joten tilanteen perusteella, jos päätät poistaa salasanapohjaisen todennuksen, voit tehdä sen seuraavasti.

merkintä: tämä edellyttää, että olet jo asentanut SSH-avaintenvaihdon.

  • Muokkaa / etc / ssh / sshd_config -painiketta vi toimittaja
  • Lisää seuraava rivi tai poista se, jos sitä on

PasswordAuthentication no

  • Lataa SSH-demoni uudelleen

Suojaus DDoS-iskuilta

DDoS (Distributed Denial of Service) voi tapahtua klo mikä tahansa kerros, ja tämä on viimeinen asia, jonka haluat yrityksen omistajana.

Alkuperäisen IP-osoitteen löytäminen on mahdollista, ja parhaaksi käytännöksi sinun ei pitäisi paljastaa palvelimen IP-osoitetta julkiseen Internetiin. Voit piilottaa “Alkuperä IP”Estää pilvi- / VPS-palvelimen DDoS.

Käytä kuormituksen tasapainottajaa (LB) – ota käyttöön Internet-osoittava kuormituksen tasauslaite, joten palvelimen IP ei ole alttiina internetille. Valittavissa on monia kuormatasaajia – Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB jne..

Käytä CDN (sisältöjakeluverkko) – CDN on yksi hienoista tavoista parantaa verkkosivustojen suorituskykyä ja turvallisuutta.

Kun otat käyttöön CDN: n, määrität DNS A-tietueen CDN-palveluntarjoajan tarjoamalla IP-osoitteella. Tällä tavalla mainostat CDN-palveluntarjoajan IP-osoitetta verkkotunnuksellesi ja alkuperä ei ole altistunut.

On monia CDN-palveluntarjoajia nopeuttamaan verkkosivustojen suorituskykyä, DDoS-suojaus, WAF & monia muita ominaisuuksia.

  • CloudFlare
  • StackPath
  • Sucuri
  • KeyCDN

Joten valitse CDN-palveluntarjoaja, joka tarjoaa suorituskyvyn & turvallisuus molemmat.

Säädä ydinasetukset & iptables – Voit hyödyntää iptable-sovelluksia estääksesi epäilyttävät pyynnöt, muun kuin SYN: n, väärät TCP-liput, yksityisen aliverkon ja muut.

Voit määrittää ytimen asetukset yhdessä iptable-ohjelmien kanssa. Javapipe on selittänyt sen hyvin ohjeilla, joten en kopioi sitä täällä.

Käytä palomuuria – Jos sinulla on laitteistopohjainen palomuuri, erinomainen, muuten kannattaa käyttää a ohjelmistopohjainen palomuuri joka hyödyntää iptable-sovelluksia tulevan verkkoyhteyden suojaamiseksi VM: ään.

Niitä on monia, mutta yksi suosituimmista on UFW (Mutkaton palomuuri) verkkotunnukselle ubuntu ja FirewallD varten CentOS.

Säännöllinen varmuuskopiointi

Varmuuskopio on ystäväsi! Kun mikään ei toimi, varmuuskopio tehdään pelastaa sinä.

Asiat voivat mennä väärä, mutta entä jos sinulla ei ole tarvittavaa varmuuskopiota palauttamiseksi? Suurin osa pilvi- tai VPS-palveluntarjoajista tarjoaa varmuuskopioita pienellä lisämaksulla, ja niitä tulisi aina harkita.

Kysy VPS-palveluntarjoajalta, kuinka varmuuskopiointi otetaan käyttöön. Tunnen Linoden ja veloitan 20% pisaran hinnoittelusta varmuuskopiosta.

Jos olet Google Compute Engine- tai AWS-palvelussa, ajoita päivittäinen tilannekuva.

Varmuuskopion avulla voit nopeasti palauta koko VM, joten olet palannut liiketoimintaan. Tai tilannevedoksen avulla voit kloonata VM: n.

Säännöllinen päivitys

VM-käyttöjärjestelmän pitäminen ajan tasalla on yksi tärkeimmistä tehtävistä sen varmistamiseksi, että palvelimellesi ei ole altistumista uusimmat tietoturva-aukot.

Sisään ubuntu, Voit käyttää apt-get-päivitystä varmistaaksesi, että uusimmat paketit on asennettu.

CentOS-sovelluksessa voit käyttää yum-päivitystä

Älä jätä avoimia portteja

Toisin sanoen, salli vain tarvittavat portit.

Pidä ei-toivotut avoimet portit kuten kutsuva hyökkääjä hyödyntämään. Jos isännöit vain verkkosivustoasi VM: ssä, tarvitset todennäköisesti joko porttia 80 (HTTP) tai 443 (HTTPS).

Jos olet AWS, sitten voit luoda suojausryhmän sallimaan vain vaadittavat portit ja liittämään ne VM: ään.

Jos olet Google Cloudissa, salli tarvittavat portit käyttämällä ”palomuurisäännöt.”

Ja jos käytät VPS: ää, käytä iptable-perussääntöjä kuten kohdassa Linode-opas.

Yllä olevan pitäisi auttaa sinua kovettumaan ja suojaamaan palvelintasi parempi suoja verkkouhkilta.

Vaihtoehtoisesti, Jos et ole valmis hallitsemaan VM: tä, saatat haluta Cloudways jotka hallitsevat useita pilvialustoja. Ja jos etsit erityisesti premium-WordPress-hosting-palvelua, niin tämä.

Tunnisteet:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector