it-swarm-id.com

Bagaimana seharusnya server diamankan?

Berbicara tentang Ubuntu 10.04, edisi server, alat/praktik apa yang akan Anda rekomendasikan untuk mengamankan server?

22
Grant Palin

Ini agak tidak spesifik, tetapi secara umum Anda harus melakukannya

  • Jalankan firewall seperti iptables atau fw untuk mengelola koneksi ke port yang terbuka.

  • Instal hanya perangkat lunak yang Anda butuhkan.

  • Hanya menjalankan layanan yang penting untuk menjalankan server.

  • Selalu perbarui perangkat lunak itu dengan semua tambalan keamanan.

  • Siapkan pengguna baru dengan hak istimewa paling sedikit yang mereka perlukan untuk melakukan tugas mereka.

  • Jalankan denyhosts atau fail2ban untuk memeriksa serangan brute force.

  • Jalankan logwatch untuk mengirimi Anda email segala anomali dalam file log.

  • Periksa log Anda sering untuk kegiatan yang mencurigakan.

  • Gunakan Sudo selalu dan gunakan kata sandi yang kuat.

  • Nonaktifkan cipher kuat dan sedang di SSL untuk Apache, exim, proftpd, dovecot dll.

  • Setel layanan untuk hanya mendengarkan localhost (bila perlu).

  • Jalankan chkrootkit setiap hari.

  • Jalankan clamscan sesering yang diperlukan untuk memeriksa virus windows (jika perlu).

  • Waspada, ketahui server Anda, tahu apa yang seharusnya dilakukan dan apa yang seharusnya tidak dilakukan.

Anda hanya akan menjaga keamanan dengan memeriksa dan mengamankan secara konstan. Jika Anda tidak tahu apa yang dilakukan sesuatu atau bagaimana atau mengapa, atau sesuatu tampak mencurigakan, mintalah saran orang lain.

25

Jawaban yang luar biasa dari Richard Holloway. Jika Anda mencari panduan langkah demi langkah spesifik, periksa panduan 2 bagian berikut dari perpustakaan Slicehost.

  1. http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-1
  2. http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-2

Saya menggunakannya hampir di mana-mana ketika saya harus men-setup instance Server Ubuntu. Saya yakin Anda akan menyukainya.

Sumber hebat lainnya adalah Perpustakaan Linode di http://library.linode.com/

Lihat artikel di kedua tempat. Banyak informasi tersedia di sana dan Anda akan dipersenjatai dengan pengetahuan yang cukup untuk menangani server Anda dengan baik.

PS: Tidak mungkin, perpustakaan dapat menjadi pengganti intuisi admin yang hebat, wawasan dan kemampuan pengambilan keputusan.

9
Mir Nazim

Sesuatu yang saya tidak lihat disebutkan adalah "gunakan 64bit". Ini memastikan Anda memiliki perlindungan memori NX, antara lain.

2
Kees Cook

Tiga hal yang cenderung saya rekomendasikan adalah:

  • Pasang semua area yang dapat ditulisi secara global (/ tmp,/var/tmp) sebagai 'noexec': Ini sebagian besar aman tanpa quirks, kecuali (saat penulisan) kecuali Anda memilih untuk meningkatkan sistem Anda. Lihat bug # 572723 di Launchpad untuk detail lebih lanjut di sana.

  • Jangan memasang kompiler atau assembler kecuali benar-benar diperlukan: Saya pikir ini cukup jelas.

  • Memulai dengan AppArmor: AppArmor dapat dilihat sebagai alternatif untuk SELinux, dan merupakan fitur hebat dari Ubuntu untuk menjalankan aplikasi kotak pasir untuk memastikan mereka tidak memiliki akses lebih dari yang mereka butuhkan. Saya sarankan meninjau panduan di forum jika Anda tertarik. http://ubuntuforums.org/showthread.php?t=1008906

1
ibuclaw
  • Instal dan konfigurasikan iptables dengan set aturan yang sesuai untuk lingkungan Anda. Memfilter lalu lintas masuk dan keluar.
  • psad untuk mendeteksi dan mengingatkan tentang pemindaian port apa pun terhadap sistem Anda.
  • Gunakan fail2ban untuk mencegah upaya masuk brute force terhadap SSH.
  • Larang akses jarak jauh menggunakan akun root, karena ini antara lain berarti bahwa jika penyerang akan mencoba untuk memaksa akses ke server Anda, mereka harus melatih nama pengguna dan kata sandi.
  • Gunakan kata sandi yang kuat untuk semua akun pengguna.
  • Batasi akses SSH hanya tersedia dari alamat IP tertentu jika memungkinkan.
  • Gunakan Tripwire dari sistem deteksi intrusi berbasis Host lainnya.
  • Monitor server dengan program pemantauan jaringan seperti nagios.
1
Mark Davidson

Untuk firewall, Anda dapat melihat @ Firestarter atau fw dengan gufw .

0
ssanj