제한된 로그인 + 거의 모든 포트가 닫혔습니다 : 안전합니까?

0

맥락 :

여행 할 계획입니다. 개인 서버로 약간의 클라우드를 만들고 싶습니다. 내 파일 중 일부를 d / l하고 결국 실행되지 않을 파일을 업로드하고 전체가 사소한 암호로 보호되기를 바랍니다.

나는 유일한 인간 사용자입니다.

Netfilter : 모든 포트가 닫히고 포트 443이 닫힙니다. 실행할 스크립트가 없습니다. 가장 낮은 권한을 가진 Apache.

사용자가 / etc / profile에 로그인하려고 할 때마다 자동으로 실행되는 스크립트를 사용하여 모든 원격 로그인을 비활성화했습니다.

그러나 아파치가 바보 같은 짓을하지 않도록 아파치와 프로파일 된 복장으로 포트 443을 열었습니다. 데이터베이스가 없습니다.

데비안 안정적인 64 비트가 업데이트되었습니다.

의문 :

내 상자를 고정하는 것으로 충분합니까? 내가 뭔가 간과 했습니까? 다른 조언이 있습니까?

감사

linux  security  firewall 
스크립트에 대한 참고 사항 /etc/profile:이 파일은 연결을 제어 할 수 없으며 Bash 셸의 환경을 설정하기 만합니다. 그러나 공격자가 셸을 요구하지 않는 경우 (예를 들어 수제 프로그램을 사용하여 SSH 연결을 처리하는 경우) 해당 스크립트는 사용되지 않습니다. 물론 SSH 포트를 차단했기 때문에 기본적으로 문제가되지 않습니다.
John WH Smith
@JohnWHSmith : 쉘이 필요하지 않고 / etc / profile을 무시하더라도 스크립트 실행이 허용되지 않으므로 문제가되지 않습니다.

답변:

0

이것은 매우 광범위한 주제이지만 다음은 2 센트입니다.

  • 디스크를 암호화하십시오.
  • AppArmor를로 제한하지 마십시오 apache.
  • 체계적인 파티션 / LVM2 레이아웃을 제공하면 대부분의 시스템을 읽기 전용으로 마운트 할 수 있습니다.

  • nodev,nosuid,noexec해당 권한이 필요하지 않은 모든 항목을 마운트 apt하고에 aptitude임시 실행 권한이 필요할 /tmp수 있습니다. /etc/apt/apt.conf또는 아래의 스 니펫에 추가 할 수 있습니다 /etc/apt/apt.conf.d.

    DPkg::Pre-Invoke {"mount -o remount,exec /tmp";};
DPkg::Post-Invoke {"mount -o remount /tmp";};
  • 루트가 아닌 계정을 sudo사용하고 해당 계정에 필요한 권한 만 부여하십시오 .
  • 이 인터넷에 노출 될 것입니다 경우, 사용 fail2ban또는 denyhosts.
  • 정기적 인 보안 업데이트를 수행하십시오.
  • 별도의 파티션 / 논리 볼륨에 로그를 저장하십시오.
  • 백업을하고 테스트하십시오.
  • 가능한 절충안을 계획하십시오.
다우드
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.