VPS 설치를 어떻게 보호 할 수 있습니까?

블로그와 개인 프로젝트를 호스팅하기 위해 Webmin을 설치하려는 VPS 설치를 보호하기위한 기본 단계는 무엇입니까?

이 비슷한 질문에 대한 danlefree의 답변은 여기서 매우 관련이 있습니다. 관리되지 않는 VPS는 얼마나 어렵습니까?

서버 보안은 일회성 작업 이상입니다.

초기 일회성 작업에는 다음이 포함됩니다.

• 경화 SSHD (이 거기 밖으로 팁과 튜토리얼을 제공하고 있습니다, 이 검색에서 들어오는 하나를보고 첫 번째 좋은이었다.
• 불필요한 서비스가 꺼져 있는지 확인하십시오.
• 공개적으로 사용할 필요가없는 서비스가 아닌지 확인하십시오. 예를 들어, 데이터베이스 서버가 로컬 인터페이스에서만 수신하고 방화벽 규칙을 추가하여 외부 연결 시도를 차단하도록 구성하십시오.
• 웹 서버 프로세스 (및 기타 서비스)에 관계없이 파일 / 디렉토리에 대한 읽기 액세스 권한이없고 선택된 파일 / 디렉토리에 대한 쓰기 액세스 권한이 필요한 경우를 제외하고는 다른 것에 대한 쓰기 권한이없는 사용자가 실행 중인지 확인 (예를 들어 업로드 된 이미지를 수락하기 위해).
• 온라인 백업 (다른 서버 또는 가정에서 선호)을 유지하기 위해 적절한 자동 백업 루틴을 설정하여 컨텐츠가 다른 곳에 복사되도록하여 서버에 최악의 상황 (복구 할 수없는 충돌 또는 해킹이 발생한 경우)을 복구 할 수 있도록합니다.
• 서버에 설치 한 모든 도구에 대해 알아보십시오 (문서를 읽고, 테스트 환경에 설치하거나, ​​가상 상자 아래의 로컬 VM과 같이 다른 구성을 시도하고 중단하여 수정하십시오) 문제가 발생하면 문제를 해결합니다 (또는 적어도 문제를 올바르게 진단하여 다른 사람이 문제를 해결하도록 도울 수 있음) 앞으로 어느 시점에서이 시간을 보내 주셔서 감사합니다!

진행중인 작업은 다음과 같습니다.

• 기본 OS에 대한 보안 업데이트가 적시에 적용되는지 확인하십시오. apticron 과 같은 도구를 사용하여 적용해야 할 업데이트를 알려줍니다. 업데이트를 자동으로 적용하는 설정을 피하고 싶습니다. (debian / ubuntu의 경우) 실행하기 전에 변경 될 내용을 검토 aptitude safe-upgrade하여 서버에서 수행 할 작업을 알고 싶습니다.
• 수동으로 설치 한 라이브러리 / 앱 / 스크립트에 대한 업데이트 (내장 패키지 관리를 사용하는 배포 표준 리포지토리가 아님)도 적시에 설치되어야합니다. 이러한 libs / apps / scripts에는 업데이트 발표를위한 자체 메일 링리스트가 있거나 정기적으로 웹 사이트를 모니터링하여 자신에게 정보를 제공해야 할 수도 있습니다.
• 패치 된 패키지가 아닌 구성 변경으로 수정해야하거나 패치 된 패키지를 생성하고 테스트 한 후 릴리스 할 때까지 해결해야하는 보안 문제에 대한 정보를 유지합니다. 배포판을 관리하는 사람들이 운영하는 보안 관련 메일 링리스트에 가입하고 이러한 문제를보고 할 수있는 기술 사이트를 주시하십시오.
• 추가 편집증에 대한 일부 형태의 오프라인 백업 관리. 서버를 가정용 컴퓨터에 백업하는 경우 정기적으로 CD / DVD / USB 스틱에 사본을 작성하십시오.
• 때때로 백업을 테스트하여 올바르게 작동하는지 알 수 있습니다. 테스트되지 않은 백업은 좋은 백업이 아닙니다. 서버를 죽이고 싶지 않은 경우 몇 달 동안 데이터가 제대로 백업되지 않았 음을 알 수 있습니다.

모든 좋은 Linux 배포판은 (적어도 설치 CD / 이미지를 눌렀다 놓은 이후에 릴리스 된 보안 패치를 가져올 때 최소한 첫 번째 업데이트 세트 이후) 합리적으로 안전한 상태로 설치됩니다. 직업은 어렵지 않지만 예상보다 잘하는 데 더 많은 시간이 걸립니다.

리눅스 VPS의 가장 큰 장점은 기본적으로 안전하다는 것입니다. 호스트와 대화하고 보안이 강화되거나 최적화되는지 확인하는 것이 좋습니다. 제어판 (webmin, cpanel 등)이있는 대부분의 VPS는 "관리"되며 많은 도움이됩니다. 특히 당신이하고있는 일이 확실하지 않다면 내 의견으로는 최선의 선택입니다.

혼자있는 경우 먼저 APF (Advanced Policy Firewall?) 또는 CSF (ConfigServer Firewall)와 같은 방화벽을 확인하십시오. CSF에는 로그인 실패 감지 옵션이 있으며, 로그인을 시도하고 너무 여러 번 실패하면 IP 주소가 자동으로 차단됩니다. 리눅스가 트래픽을 수신하지 않는 포트에서 응답하지 않기 때문에 이것들이 "필수"인지는 확실하지 않지만, 확실히 마음의 일부를 제공합니다. 그리고 다양한 트래픽을 위해 많은 포트가 열려 있다면 방화벽을 원할 것입니다.

아마도 더 중요한 것은 설치 한 응용 프로그램을 최신 상태로 유지하는 것입니다. 더 많은 사이트가 서버 운영 체제의 일부 익스플로잇보다 Wordpress 익스플로잇을 통해 해킹 당합니다. 사용자 지정 코딩 스크립트를 사용하는 경우 문의 양식과 같은 어리석은 것을 통해 실수로 열린 문을 남기고 싶지 않기 때문에 보안에주의해야합니다.

VPS가 포함 된 모든 컴퓨터를 보호하는 것은 정확한 방법은 아니지만 Linode Library 및 Slicehost Articles 의 두 가지 주요 VPS 공급자 자습서를 시작할 수 있습니다.

• 원치 않는 서비스를 제거하십시오 ( netstat 는 당신의 친구입니다)

• 서비스 광고 비활성화 (버전 번호 공개는 Scriptkiddies 에게 좋습니다 )

• 관리 (공용 아님) 포트 번호를 모호한 것으로 변경하십시오 (22의 SSH는 계속 스캔됩니다)

• 할당량 및 제한 워크 아웃 : cgroup을 , 의 limits.conf , QoS를 등 - 적극적으로 그들을 감시 - 웹 개발자 코드 또는 DDoS 공격은 사이트 아래로 노크를 공격하고 너무 늦기 수정하는 것입니다 도달 할 수없는 당신의 상자를 만드는 경우

• 일부 배포판에는 네트워크 기반 앱에 대한 SELinux / AppArmor / etc 프로파일이 있습니다.

처음 3 개는 WebMin (패션)을 통해 수행 할 수 있습니다. 그래도 ServerFault 를 살펴볼 수 있습니다 .

webmin을 언급 했으므로 Linux 상자가 될 것입니다. 해당 서버에 설치할 특정 Linux 배포판의 설명서를 확인하십시오.

CentOS의 경우 http://wiki.centos.org/HowTos/OS_Protection을 참조하십시오 .

몇 가지 요점. -SSH 포트를 변경하십시오. -파일의 디렉토리 목록을 비활성화합니다. -서버 서명, 토큰을 제거하십시오. -방화벽을 설치하십시오

더 많은 것들이 있습니다. 나는 방금 내에게 온 것들을 말했습니다.