我买了(刚刚收到)一个新的1U戴尔Poweredge 860(在易趣上得到了35美元)。
我完成安装Ubuntu服务器(Ubuntu Server 12.04.3 LTS),安装apache / mariadb / memcache / php5
工作很好,但我害怕安全。
到目前为止,我是唯一使用服务器,但最终更多的人(朋友,朋友的朋友)将使用此服务器,使用SSH等…
我想知道我能做些什么来保护所有的信息,而不是被黑客入侵,无论是从网页,ssh或ddos以及任何其他可能的攻击。
Ubuntu服务器马上为你做? 或者我必须解决它我自己?
谢谢
编辑:
我安装(到目前为止):
我没有安装:
search可以是非常有用的;
https://askubuntu.com/questions/146775/what-can-be-done-to-secure-ubuntu-server
从上面的答案;
这是我为保护我的服务器所做的一些事情。
打开UFW(sudo ufw enable),然后只允许实际使用的端口。 (sudo ufw允许80)
确保MySQL只允许来自本地主机的连接。
在邮件服务上启用TLS。 即使它是一个自签名的证书。 你不想让密码发送清楚。
安装像denyhosts或fail2ban的ssh暴力拦截器。 (sudo apt-get install denyhosts)查看只有基于密钥的login。
学习AppArmor。 如果你使用相当的香草configuration,那么这非常简单。 只要确保它已打开。 这将有助于减less零日漏洞利用。
根据对服务器的物理访问,您甚至可能想要查看encryption硬盘上的数据。
按照此链接中的其他build议。 编辑:我忘了编辑这个,当我没有足够的信誉来添加更多的链接。 这里的链接是下面的最后一个链接。
不要相信你的用户。 如果您有多个用户可以访问系统,请将其locking。 如果你必须让他们sudo访问,只给他们他们需要的东西。
使用常识。 如果你被锁在外面,想一想你会怎么进去。 然后closures那些洞。
你应该search“Ubuntu Hardening”,看看你会回来的很长的列表。
在上面的引用中提到的UFW代表简单防火墙 ( https://help.ubuntu.com/community/UFW ),这是一个非常好用的IPTablespipe理方式。
关于DDNStypes的攻击,如果您正在提供网页内容,然后使用CloudFlare等来处理您的DNS和弹性,您可能希望将NGINX作为Apache的前端静态代理。
在Digital Ocean上有关于最佳实践和服务设置的大量优秀文章;
https://www.digitalocean.com/community/community_tags/ubuntu
AskUbuntu的姊妹网站也是有关您的操作系统的丰富知识和帮助;
这是我发现最有用的文章 – http://www.thefanclub.co.za/how-to/how-secure-ubuntu-1204-lts-server-part-1-basics
整个事情只花了几个小时才能完成,大部分时间都花在了mod_security部分,因为与最新的OWASP规则不兼容,我必须回滚到早期版本(NB v2.2.5工作正常,说明解释如何应用更早的规则集)。