Si të Siguroni dhe Harden Cloud VM (Ubuntu & CentOS)?

Sigurimi i OS është po aq i rëndësishëm sa faqja juaj e internetit, aplikacionet në internet, biznesi në internet.


Ju mund të jeni duke shpenzuar për shtojcën e sigurisë, WAF, sigurinë e bazuar në cloud për të mbrojtur faqen tuaj (Shtresa 7) por duke e lënë sistemin e pa-kontrolluar mund të jetë i rrezikshëm.

Trendi është ndryshuar.

Uebi po lëviz në Cloud nga pritja e përbashkët për avantazhe të shumta.

  • Koha më e shpejtë e reagimit pasi burimet nuk ndahen nga asnjë përdorues tjetër
  • Kontroll i plotë në një pirg të teknologjisë
  • Kontroll i plotë i sistemit operativ
  • Çmim i ulët

“Me fuqi të madhe vjen një përgjegjësi e madhe”

Ju merrni kontroll më i lartë në pritjen e faqes tuaj në VM cloud, por kjo kërkon pak aftësi të sistemit të administratorit për të menaxhuar VM tuaj.

Jeni ju gati për atë?

Shënim: nëse nuk jeni të gatshëm të investoni kohën tuaj në të, atëherë mund të zgjidhni Cloudways të cilët menaxhojnë AWS, Google Cloud, Oqeanin Dixhital, Linode, Vultr & Kyup VM.

Le të futemi në një udhëzues praktik për të siguruar Ubuntu dhe CentOS VM.

Ndryshimi i portit të paracaktuar të SSH

Si parazgjedhje, Daemon SSH dëgjon numri i portit 22. Kjo do të thotë nëse dikush e gjen IP-në tuaj mund të përpiqet të lidhet me serverin tuaj.

Ata mund të mos jenë në gjendje të hyjnë në server nëse keni siguruar një fjalëkalim kompleks. Sidoqoftë, ata mund të fillojnë sulme brutale të forcës për të prishur funksionimin e serverit.

Gjëja më e mirë është të ndryshoni portin SSH në diçka tjetër, edhe pse nëse dikush e njeh IP, ata nuk mund të përpiqem të lidhesh duke përdorur portën e parazgjedhur SSH.

Ndryshimi i portit SSH në Ubuntu / CentOS është shumë i lehtë.

  • Hyni në VM tuaj me privilegjin kryesor
  • Merrni një kopje rezervë të sshd_config (/ etj / ssh / sshd_config)
  • Hapni skedarin duke përdorur redaktorin VI

vi / etj / ssh / sshd_config

Shikoni për rreshtin i cili ka Portin 22 (zakonisht në fillim të skedarit)

# Whatfarë porte, IP dhe protokolle ne dëgjojmë
Porti 22

  • Ndryshoni 22 në një numër tjetër (sigurohuni që të mbaj mend pasi do t’ju ​​duhet që të lidheni). Le të themi 5000

Porti 5000

  • Ruani skedarin dhe rinisni daemonin SSH

shërbimi sshd rinisni

Tani, ju ose dikush nuk do të jeni në gjendje të lidheni me serverin tuaj duke përdorur portën e parazgjedhur të SSH. Në vend të kësaj, ju mund të përdorni portin e ri për t’u lidhur.

Nëse përdorni klientin SSH ose Terminalin në MAC, atëherë mund të përdorni -p për të përcaktuar portin e personalizuar.

ssh-f 5000 [Email mbrojtur]

i lehtë, nuk është ashtu?

Mbrojtja nga sulmet brutale të forcave

Një nga mekanizmat e zakonshëm të përdorur nga a hacker për të marrë kontrollin e biznesit tuaj në internet është duke inicuar sulme brutale të forcës kundër serverit dhe platformës së uebit si WordPress, Joomla, etj.

Kjo mund të jetë i rrezikshëm nëse nuk merret seriozisht. Atje jane dy programe popullore që mund të përdorni për të mbrojtur Linux-in nga forca brutale.

Garda e SSH

SSHGuard monitoron shërbimet e funksionimit nga skedarët e regjistrit të sistemit dhe bllokon përpjekjet e përsëritura të gabuara të hyrjes.

Fillimisht, ishte menduar për të Mbrojtja e hyrjes në SSH, por tani mbështet shumë të tjerë.

  • FTP i pastër, PRO FTP, VS FTP, FreeBSD FTP
  • Exim
  • Dërgo postë
  • kafaz pëllumbash
  • Cucipop
  • UWimap

Mund të instaloni SSHGuard me komandat e mëposhtme.

Ubuntu:

vendosni instalimin SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

Fail2Ban

Fail2Ban është një program tjetër popullor për të mbrojtur SSH. Fail2Ban aktualizon automatikisht rregullin e iptables nëse një përpjekje e dështuar e hyrjes arrin pragun e përcaktuar.

Për të instaluar Fail2Ban në Ubuntu:

apt-get install install2ban

dhe për të instaluar në CentOS:

yum instaloni epel-lëshimin
yum install fail2ban

SSH Guard dhe Fail2Ban duhet të jenë të mjaftueshme për të mbrojtur login e SSH. Sidoqoftë, nëse duhet të eksploroni më shumë, atëherë mund t’i referoheni më poshtë.

Ableaktivizoni autentifikimin e bazuar në fjalëkalim

Nëse hyni në serverin tuaj nga një ose dy kompjuterë, atëherë mund të përdorni Keyelësi SSH vërtetim të bazuar.

Sidoqoftë, nëse keni shumë përdorues dhe shpesh hyni nga kompjuterë të shumtë publik, atëherë mund të jetë problematike të këmbeheni çelësat çdo herë.

Pra, bazuar në situatën, nëse vendosni të çaktivizoni vërtetimin e bazuar në fjalëkalim, mund ta bëni atë si më poshtë.

Shënim: kjo supozon se ju keni vendosur tashmë shkëmbimin e çelësave SSH.

  • Modifikoni / etj / ssh / sshd_config duke përdorur vi redaktor
  • Shtoni rreshtin e mëposhtëm ose mos e komentoni nëse ekziston

FjalëkalimiAutentifikimi nr

  • Rifreskoni Daemon SSH

Mbrojtja nga sulmet DDoS

DDoS (Shpërndarja e mohimit të shërbimit) mund të ndodhë në çdo shtresë, dhe kjo është gjëja e fundit që dëshironi si pronar biznesi.

Gjetja e IP e origjinës është e mundur, dhe si një praktikë më e mirë, nuk duhet të ekspozoni IP të serverit tuaj në Internetin publik. Ka shumë mënyra për të fshehur “Origjina IP“Për të parandaluar DDoS në serverin tuaj cloud / VPS.

Përdorni një balancues të ngarkesës (LB) – implementoni një balancues të ngarkesës që përballet me Internetin, kështu që IP i serverit nuk është i ekspozuar në Internet. Ka shumë balancues të ngarkesës nga të cilat mund të zgjidhni – Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB, etj..

Përdorni një CDN (Rrjeti i Dorëzimit të përmbajtjes) – CDN është një nga mënyrat më të mira për të përmirësuar performancën dhe sigurinë e faqes në internet.

Kur implementoni CDN, konfiguroni DNS Një regjistrim me adresën IP anycast të dhënë nga ofruesi i CDN. Duke bërë këtë, ju jeni duke reklamuar IP ofruesin e CDN për domenin tuaj dhe origjina nuk është e ekspozuar.

Ka shumë ofrues të CDN për të përshpejtuar performancën e faqes në internet, mbrojtjen DDoS, WAF & shumë veçori të tjera.

  • CloudFlare
  • StackPath
  • SUCURI
  • KeyCDN

Kështu që zgjedh ofruesin e CDN-së i cili performancën e ofruesit & siguria te dyja.

Shkulni cilësimet e Kernel & iptables – mund të shfrytëzoni iptables për të bllokuar kërkesa të dyshimta, jo-SYN, flamur TCP fals, subnet private dhe më shumë.

Së bashku me iptables, ju gjithashtu mund të konfiguroni cilësimet e kernelit. Javapipe e ka sqaruar mirë me udhëzimet në mënyrë që të mos e kopjoj këtu.

Përdorni një mur zjarri – Nëse keni një firewall të bazuar në harduer, atëherë shkëlqyeshëm përndryshe ju mund të dëshironi të përdorni një zjarri i bazuar në softuer që lejon iptables për të mbrojtur lidhjen e rrjetit në hyrje me VM.

Ka shumë, por një nga më të njohurit është UFW (Firewall i pakomplikuar) për Ubuntu dhe FirewallD për CentOS.

Rikthim i rregullt

Rikthimi është shoku juaj! Kur asgjë nuk funksionon, atëherë kopja rezervë do shpëtim ju.

Gjërat mund të shkojnë i gabuar, por çfarë nëse nuk keni rezervën e nevojshme për të rivendosur? Shumica e ofruesve të cloud ose VPS ofrojnë kopje rezervë me një tarifë shtesë shtesë dhe gjithmonë duhet të merren parasysh.

Kontrolloni me ofruesin tuaj VPS se si të aktivizoni shërbimin rezervë. Unë e di Linode dhe DO ngarkuar 20% të çmimeve të pikave për rezervën.

Nëse jeni në Google Compute Engine ose AWS, atëherë caktoni një fotografi ditore.

Pasja e një rezervë do t’ju lejojë shpejt rivendosni të gjithë VM, kështu që ju jeni përsëri në biznes. Ose me ndihmën e një fotografie, mund të klononi VM.

Azhurnim i rregullt

Mbajtja e azhurnuar e OS tuaj VM është një nga detyrat thelbësore për të siguruar që serveri juaj të mos ekspozohet ndaj asnjë dobësitë e fundit të sigurisë.

Ubuntu, mund të përdorni azhurnimin e duhur për të siguruar që paketat më të fundit janë instaluar.

Në CentOS, ju mund të përdorni azhurnimin yum

Mos lini porte të hapura

Me një fjalë tjetër, lejoni vetëm portet e nevojshme.

Mbajtja e porteve të padëshiruara të hapura si një sulmues ftues për të përfituar. Nëse jeni duke pritur vetëm në uebfaqen tuaj në VM tuaj, ka shumë të ngjarë që të duhet ose porti 80 (HTTP) ose 443 (HTTPS).

Nëse jeni në AWS, atëherë mund të krijoni grupin e sigurisë për të lejuar vetëm portet e kërkuara dhe t’i shoqëroni ato me VM.

Nëse jeni në Google Cloud, atëherë lejoni portet e nevojshme duke përdorur “rregullat e zjarrit.”

Dhe nëse jeni duke përdorur VPS, atëherë aplikoni rregulloren themelore të iptables siç shpjegohet në Udhëzues linode.

Sa më sipër duhet t’ju ndihmojë në forcimin dhe sigurimin e serverit tuaj për të mbrojtje më të mirë nga kërcënimet në internet.

alternativ, nëse nuk jeni gati për të menaxhuar VM tuaj, atëherë mund të preferoni Cloudways të cilët menaxhojnë platforma të shumta cloud. Dhe nëse po kërkoni posaçërisht për premium hostimin WordPress, atëherë ky.

TAGS:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map