Ինչպե՞ս ապահովել անվտանգ և Harden Cloud VM (Ubuntu & CentOS):

ՕՀ-ի անվտանգությունը նույնքան կարևոր է, որքան ձեր կայքը, վեբ ծրագրերը, առցանց բիզնեսը.


Կարող եք ծախսեր կատարել անվտանգության plugin- ի, WAF- ի, ամպի վրա հիմնված անվտանգության վրա, ձեր կայքը պաշտպանելու համար (շերտ 7), բայց OS- ն անխափան թողնելը կարող է լինել վտանգավոր.

Թրենդն է փոփոխվող.

Համացանցը բազմակի առավելությունների համար համացանցային ցանցից տեղափոխվում է Cloud.

  • Արագ արձագանքման ժամանակը, քանի որ ռեսուրսները չեն բաժանվում որևէ այլ օգտագործողի կողմից
  • Ամբողջ հսկողություն ՝ տեխնոլոգիական գրպանում
  • Օպերացիոն համակարգի ամբողջական վերահսկողություն
  • Ցածր գին

«Մեծ զորությամբ մեծ պատասխանատվություն է գալիս»

Դուք ստանում եք ավելի բարձր հսկողություն ձեր վեբ կայքը ամպամած VM- ում հյուրընկալելու ժամանակ, բայց դա պահանջում է մի քիչ համակարգային կառավարման հմտություններ ՝ ձեր VM- ի կառավարման համար.

Դու ես պատրաստ է դրա համար?

Նշում. Եթե պատրաստ չեն ձեր ժամանակը ներդնել դրա մեջ, ապա կարող եք ընտրել Ամպամածություն ովքեր կառավարում են AWS, Google Cloud, Digital Ocean, Linode, Vultr & Կիուպ Վ.Մ..

Եկեք մտնենք ա գործնական ուղեցույց ապահովել Ubuntu- ն և CentOS VM- ը.

Փոխելով SSH կանխադրված նավահանգիստը

Լռելյայն, SSH daemon- ն լսում է 22 նավահանգիստ. Սա նշանակում է, որ եթե մեկը գտնում է, որ ձեր IP- ն կարող է փորձել միանալ ձեր սերվերին.

Հնարավոր է, որ նրանք չեն կարողանա մուտք գործել սերվեր, եթե ապահովված եք բարդ գաղտնաբառով: Այնուամենայնիվ, նրանք կարող են գործարկել կոպիտ ուժային գրոհներ ՝ խանգարելու համար սերվերի աշխատանքը.

Լավագույնն այն է, որ SSH նավահանգիստը փոխեք մեկ այլ բանի, այնպես որ, չնայած եթե մեկը գիտի IP- ն, նրանք չի կարելի միացնել օգտագործելով լռելյայն SSH նավահանգիստ.

Sb նավահանգիստը Ubuntu / CentOS- ում փոխելը շատ հեշտ է.

  • Մուտք գործեք ձեր VM- ի արմատային արտոնությունը
  • Վերցրեք կրկնօրինակում sshd_config- ի (/ և այլն / ssh / sshd_config)
  • Բացեք ֆայլը, օգտագործելով VI խմբագրիչը

vi / etc / ssh / sshd_config

Փնտրեք տող, որն ունի Պորտ 22 (սովորաբար ֆայլի սկզբում)

# Ինչ պորտեր, IP- ներ և արձանագրություն ենք մենք լսում
22 նավահանգիստ

  • 22-ը փոխեք ինչ-որ այլ համարի (ապահովեք հիշիր քանի որ դա ձեզ հարկավոր կլինի միանալու համար): Ասենք 5000

5000 նավահանգիստ

  • Պահպանեք ֆայլը և վերագործարկեք SSH daemon- ը

ծառայություն sshd վերագործարկել

Այժմ դուք կամ որևէ մեկը չեք կարողանա միանալ ձեր սերվերին `օգտագործելով SSH լռելյայն պորտը: Փոխարենը, միանալու համար կարող եք օգտագործել նոր նավահանգիստը.

Եթե ​​օգտագործում եք SSH հաճախորդ կամ Տերմինալ MAC- ում, ապա կարող եք օգտագործել -p ՝ սովորական պորտը սահմանելու համար.

ssh-p 5000 [փոստով պաշտպանված է]

Հեշտ է, դա այդպես չէ?

Պաշտպանություն կոպիտ ուժային հարձակումներից

A- ի կողմից օգտագործվող ընդհանուր մեխանիզմներից մեկը հակեր ձեր առցանց բիզնեսի վերահսկողությունը ստանձնելն է ՝ դաժան ուժային գրոհներ նախաձեռնելով սերվերի և վեբ հարթակի վրա, ինչպիսիք են WordPress- ը, Joomla- ն և այլն:.

Սա կարող է լինել վտանգավոր եթե լուրջ չի ընդունվում: Կան երկու հանրաճանաչ ծրագրեր, որոնք կարող եք օգտագործել Linux- ը կոպիտ ուժից պաշտպանելու համար.

SSH պահակ

SSHGuard վերահսկում է գործառնական ծառայությունները համակարգի տեղեկամատյանների ֆայլերից և արգելափակում մուտքի կրկնակի վատ փորձերը.

Սկզբնապես դա նախատեսված էր SSH մուտքի պաշտպանություն, բայց այժմ այն ​​աջակցում է շատ ուրիշներին.

  • Մաքուր FTP, PRO FTP, VS FTP, FreeBSD FTP
  • Էքզիմ
  • Sendmail
  • Dovecot- ը
  • Cucipop
  • UWimap

Կարող եք SSHGuard- ը տեղադրվել հետևյալ հրամաններով.

Ուբունտու

apt-get install SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

Fail2Ban

Fail2Ban- ը SSH- ը պաշտպանելու ևս մեկ հանրաճանաչ ծրագիր է: Fail2Ban- ը ինքնաբերաբար թարմացնում է iptables կանոնը, եթե ձախողման մուտքի փորձը հասնում է սահմանված շեմն.

Տեղադրել Fail2Ban- ը Ուբունտուում.

apt-get install fail2ban

և տեղադրել CentOS- ում.

yum տեղադրել epel- թողարկումը
yum install fail2ban

SSH Guard- ը և Fail2Ban- ը պետք է բավարար լինեն SSH- ի մուտքը պաշտպանելու համար: Այնուամենայնիվ, եթե ձեզ հարկավոր է ավելի շատ ուսումնասիրել, կարող եք անդրադառնալ հետևյալին.

Անջատեք գաղտնաբառի վրա հիմնված վավերացումը

Եթե ​​մուտք եք գործում ձեր սերվերից մեկ կամ երկու համակարգիչից, ապա կարող եք օգտագործել SSH ստեղնը հիմնված վավերացում.

Այնուամենայնիվ, եթե դուք ունեք բազմաթիվ օգտվողներ և հաճախ մուտք եք գործում բազմաթիվ հանրային համակարգիչներից, ապա ամեն անգամ բանալին փոխանակելը կարող է դժվար լինել.

Այսպիսով, ելնելով իրավիճակից, եթե դուք որոշում եք անջատել գաղտնաբառի վրա հիմնված վավերացումը, կարող եք դա անել հետևյալ կերպ.

Նշում: Սա ենթադրում է, որ դուք արդեն ստեղծել եք SSH ստեղնաշարի փոխանակում.

  • Փոփոխել / etc / ssh / sshd_config ՝ օգտագործելով vi խմբագիր
  • Եթե ​​առկա է, լրացրեք հետևյալ տողը կամ աննկատացրեք այն

Գաղտնաբառ

  • Վերբեռնեք SSH Daemon- ը

Պաշտպանվում է DDoS հարձակումներից

DDoS- ը (Բաշխված մերժման ծառայությունը) կարող է տեղի ունենալ ժամը ցանկացած շերտ, և սա վերջին բանն է, որ ուզում ես որպես բիզնեսի սեփականատեր.

Հնարավոր է գտնել ծագման IP- ն, և որպես լավագույն փորձ, չպետք է ձեր սերվերի IP- ն ենթարկեք հանրային ինտերնետ: «Թաքցնելու» բազմաթիվ եղանակներ կանԾագման IP«Կանխելու համար DDoS- ը ձեր ամպային / VPS սերվերում.

Օգտագործեք բեռի հավասարակշռիչ (LB) – իրականացնել ինտերնետին ուղղված բեռի հավասարակշռություն, այնպես որ սերվերի IP- ն չի ենթարկվում ինտերնետին: Կան բազմաթիվ բեռների հավասարակշռներ, որոնցից կարող եք ընտրել `Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB և այլն:.

Օգտագործեք CDN (բովանդակության առաքման ցանց) – CDN- ը վեբ կայքի աշխատանքն ու անվտանգությունը բարելավելու հիանալի ձևերից մեկն է.

Երբ իրականացնում եք CDN, կազմաձևում եք DNS Record- ը CDN մատակարարի կողմից տրամադրված anycast IP հասցեի հետ: Դրանով դուք գովազդում եք CDN պրովայդերի IP ձեր տիրույթի և ծագումը չի ենթարկվում.

Կան բազմաթիվ CDN պրովայդերներ, որոնք արագացնելու են կայքի աշխատանքը, DDoS պաշտպանությունը, WAF- ը & շատ այլ հատկություններ.

  • Cloudflare
  • StackPath
  • ՍՈՒԿՈՒՐԻ
  • KeyCDN

Այսպիսով ընտրեք CDN մատակարարին, ով մատակարար է կատարում & անվտանգության երկուսն էլ.

Կսմթել միջուկի պարամետրերը & iptables – Դուք կարող եք օգտագործել iptables- ը ՝ կասկածելի հարցումները արգելափակելու համար, ոչ SYN- ը, TCP դրոշի կեղծիքը, մասնավոր ենթահողը և այլն:.

Iptables- ի հետ մեկտեղ կարող եք կազմաձևել նաև միջուկի պարամետրերը. Apավապիպե դա լավ բացատրել է հրահանգներով, որպեսզի ես այստեղ չկրկնօրինակեմ.

Օգտագործեք firewall – Եթե հնարավորություն եք տալիս ունենալ սարքավորումներով հիմնված firewall, ապա գերազանցապես հակառակ դեպքում, գուցե ցանկանաք օգտագործել ծրագրային ապահովման վրա հիմնված firewall որ iptables- ն ազդում է մուտքային ցանցային կապը ՎՄ-ին պաշտպանելու համար.

Կան շատ, բայց ամենատարածվածներից մեկը UFW (Բարդ firewall) Ուբունտու և FirewallD համար CentOS.

Կանոնավոր կրկնօրինակում

Կրկնօրինակեք ձեր ընկերն է: Երբ ոչինչ չի աշխատում, ապա կրկնօրինակը կկատարվի փրկություն դու.

Ամեն ինչ կարող է գնալ սխալ է, Բայց ի՞նչ անել, եթե անհրաժեշտ պահուստ չունեք վերականգնելու համար: Ամպային կամ VPS պրովայդերների մեծ մասը առաջարկում է կրկնօրինակում մի փոքր լրացուցիչ վճարով, և միշտ պետք է հաշվի առնել.

Ստուգեք ձեր VPS մատակարարին, թե ինչպես միացնել պահուստային ծառայությունը: Ես գիտեմ, որ Linode- ն ու DO- ն ապրանքի կրկնօրինակի գնի 20% -ը կրկնօրինակում են.

Եթե ​​Google Compute Engine- ում կամ AWS- ում եք, ուրեմն ամեն օր նախանշեք նկարը.

Կրկնօրինակեք պահելը ձեզ արագ թույլ կտա վերականգնել ամբողջ VM- ը, այնպես որ դուք վերադառնում եք գործի: Կամ լուսանկարների օգնությամբ դուք կարող եք կլոնավորել Վ.Մ..

Պարբերաբար թարմացում

Ձեր VM OS- ի թարմացումը պահելը կարևոր խնդիրներից է `ձեր սերվերը չի ենթարկվում որևէ մեկին անվտանգության վերջին խոցելիությունները.

Ներ Ուբունտու, վերջին փաթեթների տեղադրումն ապահովելու համար կարող եք օգտագործել համապատասխան ստացված թարմացում.

CentOS- ում կարող եք օգտագործել yum թարմացումը

Մի թողեք բացված նավահանգիստները

Այլ կերպ ասած, թույլ տվեք միայն անհրաժեշտ նավահանգիստները.

Հրավիրվող հարձակվողի պես անցանկալի բաց նավահանգիստներ պահելը `առավելություններից օգտվելու համար: Եթե ​​դուք պարզապես հյուրընկալում եք ձեր վեբ կայքը ձեր VM- ում, ապա, ամենայն հավանականությամբ, ձեզ հարկավոր է կամ պորտ 80 (HTTP) կամ 443 (HTTPS):.

Եթե ​​միացված եք AWS, ապա կարող եք ստեղծել անվտանգության խումբ, որը թույլ կտա միայն պահանջվող նավահանգիստները և դրանք միավորել VM- ի հետ.

Եթե ​​Google Cloud- ում եք, ապա թույլատրեք անհրաժեշտ նավահանգիստները ՝ օգտագործելով «firewall- ի կանոնները

Եվ եթե դուք օգտագործում եք VPS, ապա կիրառեք հիմնական iptables կանոնները, ինչպես բացատրվում է դրանում Linode ուղեցույց.

Վերոնշյալը պետք է օգնի ձեզ ձեր սերվերը կարծրացնելու և ապահովելու հարցում ավելի լավ պաշտպանություն առցանց սպառնալիքներից.

այլընտրանքային, եթե պատրաստ չեք ղեկավարել ձեր Վ.Մ.-ն, ապա կարող եք նախընտրել Ամպամածություն ովքեր կառավարում են բազմակի ամպային ծրագրեր: Եվ եթե դուք մասնավորապես փնտրում եք պրեմիում WordPress հոստինգ, ապա սա.

ՏԵՂԵՐ.

  • Linux- ը

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map