Hvernig á að tryggja og vernda Cloud VM (Ubuntu & CentOS)?

Að tryggja stýrikerfið er jafn mikilvægt og vefsíðan þín, vefforrit, vefverslun.


Þú gætir verið að eyða í öryggistengibúnað, WAF, skýjabundið öryggi til að vernda síðuna þína (lag 7) en að láta stýrikerfi vera óharðnað getur verið hættulegt.

Þróunin er breytast.

Vefurinn er að flytja til Cloud frá sameiginlegri hýsingu fyrir marga kosti.

  • Hraðari viðbragðstími þar sem auðlindum er ekki deilt með öðrum notendum
  • Full stjórn á tækni stafla
  • Full stjórn á stýrikerfinu
  • Lítill kostnaður

„Með miklum krafti fylgir mikil ábyrgð“

Þú færð meiri stjórn þegar þú hýsir vefsíðuna þína á VM í skýinu, en það þarf smá hæfileika kerfisstjórans til að stjórna VM þínum.

Ert þú tilbúinn fyrir það?

Athugið: ef þú ert ekki tilbúinn að fjárfesta tíma þínum í það þá geturðu valið það Cloudways sem stjórna AWS, Google Cloud, Digital Ocean, Linode, Vultr & Kyup VM.

Við skulum komast í a hagnýt handbók til að tryggja Ubuntu og CentOS VM.

Breytir SSH sjálfgefinni höfn

Sjálfgefið er að SSH púkinn hlustar á höfn númer 22. Þetta þýðir að ef einhver finnur IP þinn getur reynt að tengjast netþjóninum.

Þeir geta ef til vill ekki komist inn á netþjóninn ef þú ert búinn að tryggja þér flókið lykilorð. Hins vegar geta þeir hrundið af stað skothríðsárásum til að trufla rekstur netþjónsins.

Það besta er að breyta SSH höfn í eitthvað annað þannig að jafnvel þó að ef einhver veit IP, þeir getur ekki reynt að tengjast nota sjálfgefna SSH tengi.

Það er mjög auðvelt að breyta SSH höfninni í Ubuntu / CentOS.

  • Skráðu þig inn á VM með rótaréttindin
  • Taktu öryggisafrit af sshd_config (/ etc / ssh / sshd_config)
  • Opnaðu skrána með VI ritstjóra

vi / etc / ssh / sshd_config

Leitaðu að línu sem hefur Port 22 (venjulega í byrjun skráarinnar)

# Hvaða höfn, IP og samskiptareglur við hlustum eftir
Höfn 22

  • Skiptu um 22 í annað númer (tryggðu að muna eins og þú þarft að tengjast). Segjum 5000

Höfn 5000

  • Vistaðu skrána og endurræstu SSH púkann

þjónusta sshd endurræsa

Þú eða einhver munt ekki geta tengst netþjóninum með SSH sjálfgefna tengi. Í staðinn er hægt að nota nýju tengið til að tengjast.

Ef SSH viðskiptavinur er notaður eða Terminal á MAC geturðu notað -p til að skilgreina sérsniðna höfn.

ssh -p 5000 [varið með tölvupósti]

Auðvelt, er það ekki?

Vernd gegn skotárásum

Einn af algengu leiðunum sem a tölvusnápur til að ná stjórn á vefverslun þinni er með því að hefja sprengjuárásir á netþjóninn og vefpallinn eins og WordPress, Joomla osfrv..

Þetta getur verið hættulegt ef ekki er tekið alvarlega. Það eru tvö vinsæl forrit sem þú getur notað til að vernda Linux frá skepnum.

SSH vörður

SSHGuard fylgist með keyrsluþjónustunni úr kerfisskránni og hindrar endurteknar slæmar innskráningartilraunir.

Upphaflega var það ætlað SSH innskráningarvörn, en nú styður það marga aðra.

  • Pure FTP, PRO FTP, VS FTP, FreeBSD FTP
  • Exim
  • Senda póst
  • Dovecot
  • Kúrbít
  • UWimap

Þú getur fengið SSHGuard uppsett með eftirfarandi skipunum.

Ubuntu:

apt-get setja upp SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

Fail2Ban

Fail2Ban er annað vinsælt forrit til að vernda SSH. Fail2Ban uppfærir iptables reglu sjálfkrafa ef mistókst innskráningartilraun nær tilgreindum þröskuld.

Til að setja upp Fail2Ban í Ubuntu:

apt-get install fail2ban

og til að setja upp í CentOS:

yum settu upp epel-sleppingu
yum settu upp fail2ban

SSH vörður og Fail2Ban ættu að duga til að vernda innskráningu SSH. Hins vegar, ef þú þarft að kanna meira, gætirðu vísað til eftirfarandi.

Slökkva á staðfestingu sem byggir á lykilorði

Ef þú skráir þig inn á netþjóninn þinn frá einni eða tveimur tölvum geturðu notað það SSH lykill byggð staðfesting.

Hins vegar, ef þú ert með marga notendur og skráir þig oft inn í margar opinberar tölvur, þá gæti verið erfiður að skiptast á lykli í hvert skipti.

Svo miðað við ástandið, ef þú velur að slökkva á staðfestingu sem byggir á lykilorði, geturðu gert það eins og hér segir.

Athugasemd: þetta gerir ráð fyrir að þú hafir þegar sett upp SSH lykilskipti.

  • Breyta / etc / ssh / sshd_config með vi ritstjóri
  • Bættu við eftirfarandi línu eða felldu úr henni ef hún er til

Lykilorðsstaðfesting nr

  • Settu SSH Daemon á ný

Vernd gegn DDoS árásum

DDoS (Distribution Denial of Service) getur gerst kl hvaða lag sem er, og þetta er það síðasta sem þú vilt sem viðskipti eigandi.

Að finna uppruna IP er mögulegt, og sem besta starf ætti þú ekki að vera að afhjúpa IP netþjóni þíns fyrir almenna internetið. Það eru margar leiðir til að fela „Uppruni IP“Til að koma í veg fyrir DDoS á skýinu / VPS netþjóninum.

Notaðu burðarþéttni (LB) – hrinda í framkvæmd interneti sem snýr að hleðslujafnvægi, svo að IP netþjóni verði ekki fyrir internetinu. Það eru margir burðarþolar sem þú getur valið úr – Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB, osfrv..

Notaðu CDN (Content Delivery Network) – CDN er ein frábær leið til að bæta árangur og öryggi vefsíðna.

Þegar þú setur inn CDN stillirðu upp DNS met með hvaða IP-tölu sem er til staðar af CDN veitunni. Með því að gera þetta ertu að auglýsa IPN fyrir CDN veituna fyrir lénið þitt og uppruni er ekki óvarinn.

Það er til margir CDN veitendur sem flýta fyrir afköstum vefsíðunnar, DDoS vernd, WAF & margar aðrar aðgerðir.

  • Skýjakljúfur
  • StackPath
  • SUCURI
  • KeyCDN

Veldu svo CDN veituna sem veitir frammistöðu & öryggi bæði.

Fínstilla Kernel stillingarnar & iptables – þú getur skiptimynt íptables til að loka fyrir grunsamlegar beiðnir, non-SYN, svikinn TCP fána, einkanetkerfi og fleira.

Ásamt iptables geturðu einnig stillt kjarna stillingarnar. Javapipe hefur útskýrt það vel með leiðbeiningunum þannig að ég mun ekki afrita það hér.

Notaðu eldvegg – Ef þú hefur efni á vélbúnaðaruppbyggingu eldvegg þá er frábært, annars gætirðu viljað nota a hugbúnaður sem byggir á eldvegg sem nýtir iptables til að vernda komandi nettengingu við VM.

Það eru margir, en einn af þeim vinsælustu er UFW (Óbrotinn eldveggur) fyrir Ubuntu og EldveggD fyrir CentOS.

Regluleg afritun

Afritun er vinur þinn! Þegar ekkert virkar þá mun afritið gera það björgun þú.

Hlutirnir geta farið rangt, en hvað ef þú ert ekki með nauðsynlega öryggisafrit til að endurheimta? Flestir skýja- eða VPS-veitendur bjóða öryggisafrit gegn vægu aukagjaldi og það ætti alltaf að hafa í huga.

Ráðfærðu þig við VPS veituna þína hvernig á að virkja afritunarþjónustu. Ég þekki Linode og DO rukka 20% af verðlagningu dropanna fyrir afritið.

Ef þú ert á Google Compute Engine eða AWS skaltu skipuleggja daglega mynd.

Að hafa afrit gerir þér fljótt kleift endurheimta allan VM, svo þú ert kominn aftur í viðskipti. Eða með hjálp myndatöku geturðu klónað VM.

Regluleg uppfærsla

Með því að halda VM OS uppfærðu er eitt af nauðsynlegum verkefnum til að tryggja að netþjóninn þinn verði ekki fyrir neinum nýjustu öryggisleysi.

Í Ubuntu, þú getur notað apt-get update til að tryggja að nýjustu pakkarnir séu settir upp.

Í CentOS geturðu notað yum update

Ekki skilja eftir opnar hafnir

Í öðru orði, leyfðu aðeins nauðsynlegar hafnir.

Að halda óæskilegum opnum höfnum eins og að bjóða árásarmanni til að nýta sér það. Ef þú ert bara að hýsa vefsíðuna þína á VM þínum þarftu líklega annað hvort höfn 80 (HTTP) eða 443 (HTTPS).

Ef þú ert á AWS, þá geturðu búið til öryggishópinn sem leyfir aðeins nauðsynlegar tengi og tengt þær við VM.

Ef þú ert á Google Cloud, leyfðu nauðsynlegum höfnum með því að nota „reglur um eldvegg.“

Og ef þú ert að nota VPS, notaðu þá grunnreglur íptables eins og lýst er í Linode leiðarvísir.

Ofangreint ætti að hjálpa þér við að herða og tryggja netþjóninn þinn fyrir betri vörn gegn ógnum á netinu.

Að öðrum kosti, ef þú ert ekki tilbúinn að stjórna VM þínum þá gætirðu valið það Cloudways sem stjórna mörgum skýjapöllum. Og ef þú ert sérstaklega að leita að Premium WordPress hýsingu þá er þessi.

BÖRUR:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map