تأمين لينكس ويب العام ،
https://stackoverflow.com/questions/5078
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أود أن اقامة رخيصة مربع لينكس كخادم ويب استضافة مجموعة متنوعة من تقنيات الويب (PHP و Java EE تتبادر إلى الذهن ، ولكن أحب أن التجربة مع روبي أو الثعبان في المستقبل أيضا).
أنا إلى حد ما ضليع في إعداد هر لتعمل على لينكس لخدمة ما يصل جافا EE التطبيقات ، ولكن أود أن تكون قادرة على فتح هذا الخادم حتى فقط لذلك أنا يمكن أن تخلق بعض الأدوات التي يمكنني استخدامها بينما أنا أعمل في المكتب.كل تجربة مررت بها مع تكوين Java EE المواقع كل ذلك من أجل تطبيقات الإنترانت حيث قيل لنا أن لا تركز على تأمين صفحات المستخدمين الخارجيين.
ما هي نصيحتك على إعداد الشخصية لينكس خادم الويب في تأمين ما يكفي من طريقة لفتحه الخارجية المرور ؟
المحلول
هذه المادة لديها بعض من أفضل طرق لقفل الأمور:
http://www.petefreitag.com/item/505.cfm
بعض النقاط البارزة:
- تأكد من أن لا أحد يمكن استعراض الدلائل
- تأكد فقط الجذر لديه امتيازات الكتابة إلى كل شيء ، فقط الجذر قراءة امتيازات بعض ملفات التكوين
- تشغيل mod_security
المادة كما يأخذ بعض المؤشرات من هذا الكتاب:
أباتشي Securiy (أورايلي الصحافة)
بقدر ما توزيعات لقد تشغيل Debain و أوبونتو ، ولكن ذلك يعتمد فقط على مقدار ما تريد القيام به.ركضت دبيان مع X و ssh ان في ذلك كلما كنت بحاجة إلى أي شيء.هذا هو وسيلة بسيطة للحفاظ على النفقات العامة إلى أسفل.أو أوبونتو بعض لطيفة واجهة المستخدم الرسومية الأشياء التي تجعل من السهل السيطرة Apache/MySQL/PHP.
نصائح أخرى
فمن المهم اتباع أفضل الممارسات الأمنية حيثما كان ذلك ممكنا ، ولكن كنت لا تريد أن تجعل الأشياء دون مبرر من الصعب على نفسك أو تفقد النوم القلق حول مواكبة أحدث مآثر.في تجربتي, هناك نوعان من الأشياء الرئيسية التي يمكن أن تساعد على الحفاظ على الخادم الشخصي الخاص بك آمنة بما فيه الكفاية لرمي على الإنترنت مع الإبقاء على سلامة العقل الخاص بك:
1) الأمن من خلال الغموض
وغني عن القول أن الاعتماد على هذا في "العالم الحقيقي" هو فكرة سيئة و لا يكون مطلقا.لأنه في العالم الحقيقي ، الاشرار تعرف ما هناك أن هناك الغنائم قد يكون.
على الخادم الشخصي ، فإن غالبية هجمات' سوف تعاني ببساطة الآلي الاحتلالات من الآلات التي سبق للخطر ، وتبحث عن التقصير المنشآت من المنتجات المعروفة الضعيفة.إذا كان الخادم الخاص بك لا تقدم أي شيء تحريضية على المنافذ الافتراضية أو في المواقع الافتراضية ، الآلي المهاجم سوف نمضي قدما.لذلك ، إذا كنت تنوي تشغيل خادم ssh ، ووضعها على منفذ غير قياسي (>1024) وأنه من المرجح أنه لن يمكن العثور عليها.إذا كان يمكنك الحصول بعيدا مع هذه التقنية على ملقم ويب الخاص بك ثم كبيرة ، تحول هذا غامضة الميناء أيضا.
2) حزمة إدارة
لا تجميع وتركيب أباتشي أو sshd من مصدر نفسك إلا إذا كان لديك على الإطلاق.إذا كنت تفعل, أنت تأخذ على عاتقها مسؤولية الحفاظ على ما يصل إلى موعد مع أحدث تصحيحات الأمان.السماح لطيف حزمة مشرفون من توزيعات لينكس مثل ديبيان أو أوبونتو للقيام بهذا العمل بالنسبة لك.تثبيت من توزيعة هو precompiled حزم ، والبقاء الحالية يصبح مسألة إصدار عرضية apt-get update && apt-get -u dist-upgrade الأوامر أو باستخدام ما يتوهم واجهة المستخدم الرسومية أداة أوبونتو يوفر.
شيء واحد يجب عليك أن تتأكد من أن تنظر ما هي المنافذ المفتوحة في العالم.أنا شخصيا مجرد فتح بورت 22 SSH ميناء 123 عن نتبد.ولكن إذا قمت بفتح بورت 80 (http) أو بروتوكول نقل الملفات تأكد من أن تتعلم أن تعرف على الأقل ما كنت تخدم العالم و الذي يمكن القيام به مع ذلك.أنا لا أعرف الكثير عن ftp, ولكن هناك الملايين من رائع أباتشي الدروس مجرد البحث في جوجل بعيدا.
@svrist ذكر EC2.EC2 يوفر API من أجل فتح وإغلاق الموانئ عن بعد.وبهذه الطريقة ، يمكنك الاحتفاظ الخاص بك مربع تشغيل.إذا كنت بحاجة إلى إعطاء التجريبي من مقهى أو مكتب العميل ، يمكنك انتزاع الملكية الفكرية الخاصة بك وإضافته إلى ACL.
آمنة ومأمونة إذا كنت اخفض صوتك (أي نادرا ما شخص ما سوف يأتي بعد منزلك server إذا كنت مجرد استضافة سبحانه webroot على منزل اتصال) الذكاء الخاص بك عن التكوين الخاص بك (أي تجنب استخدام الجذر على كل شيء تأكد من الحفاظ على هذا البرنامج حتى الآن).
على تلك المذكرة ، وإن كان هذا الموضوع يحتمل أن تتضاءل إلى المشتعلة ، اقتراحي الشخصي الخاص بك الملقم إلى التمسك بأي شيء أوبونتو (الحصول على خادم أوبونتو هنا);في تجربتي, أسرع للحصول على إجابات من حيث طرح الأسئلة على المنتديات (غير متأكد ماذا أقول عن الإقبال على الرغم من).
بيتي أمان ملقم راجع للشغل نوعا ما فوائد (على ما أظن أو أعتقد) من عدم وجود IP ثابت (يعمل على DynDNS).
حظا سعيدا!
/mp
كن حذرا حول فتح بورت SSH إلى البرية.إذا كنت تفعل, تأكد من تعطيل تسجيلات جذر (يمكنك دائما su أو sudo تحصل مرة واحدة في) والنظر في أكثر عدوانية أساليب المصادقة في حدود المعقول.رأيت ضخمة القاموس الهجوم في سجلات الخادم عطلة نهاية الأسبوع واحدة ذاهب بعد SSH server من الأذان المنزل IP server.
أن يقال, إنه رائع حقا أن تكون قادرة على الحصول على المنزل قذيفة من العمل أو بعيدا...و إضافة على حقيقة أنه يمكنك استخدام SFTP على نفس المنفذ ، لا أستطيع تخيل الحياة بدونها.=)
هل يمكن النظر في المثال EC2 من الأمازون.بهذه الطريقة يمكنك بسهولة اختبار "الأشياء" دون العبث مع الإنتاج.ولا تدفع إلا مقابل مساحة الوقت وعرض النطاق الترددي الذي تستخدمه.
إذا كنت تفعل تشغيل خادم لينكس من المنزل, تثبيت ossec على أنها لطيفة خفيفة الوزن معرفات أن يعمل بشكل جيد حقا.
[عدل]
كملاحظة جانبية, تأكد من أن كنت لا تتعارض مع ISP الخاص بك سياسة الاستخدام المقبول و أنها تسمح الاتصالات الواردة على مستوى الموانئ.ISP كنت أعمل كان مكتوب في الشروط التي يمكن أن تكون منفصلة عن إدارة الخوادم عبر منفذ 80/25 إلا إذا كنت على درجة رجال الأعمال في الاعتبار.بينما نحن لم بنشاط عرقلة تلك الموانئ (نحن لا نهتم إلا إذا كان يسبب مشكلة) بعض مزودي خدمات الإنترنت لا تسمح بأي حركة المرور على المنفذ 80 أو 25 لذلك سوف تضطر إلى استخدام بديل الموانئ.
إذا كنت تريد الذهاب للقيام بذلك ، تنفق قليلا من المال في أقل شراء مخصصة الموجه/جدار ناري منفصل DMZ الميناء.أنت تريد أن جدار الحماية خارج شبكة الاتصال الداخلية الخاصة بك من الخادم الخاص بك بحيث عندما (لا أنا!) خادم الويب الخاص بك للخطر ، شبكة الاتصال الداخلية الخاصة بك ليست على الفور الضعيفة أيضا.
هناك الكثير من الطرق للقيام بذلك من شأنها أن تعمل على ما يرام.أنا عادة jsut استخدام .ملف htaccess.سريعة لإعداد وآمنة يكفي .ربما لا يكون أفضل خيار لكنه يعمل بالنسبة لي.أنا لن أضع أرقام بطاقات الائتمان وراء ذلك ولكن بخلاف ذلك لا حقا الرعاية.
أنت فتح علبة من الديدان بمجرد البدء في فتح أي شيء يصل إلى الحركة الخارجية.نضع في اعتبارنا أن ما كنت تنظر التجريبية خادم تقريبا مثل أضحية ، هو أيضا أهداف سهلة المنال للأشخاص الذين يبحثون أن تفعل أشياء سيئة مع الشبكة والموارد.
كله نهج خارجيا المتاحة الخادم يجب أن تكون متحفظا جدا و شامل.يبدأ من أشياء بسيطة مثل جدار الحماية السياسات يتضمن نظام التشغيل الأساسية (ابقائها مصححة, تكوين الأمن ، إلخ.) وينطوي كل طبقة من كل كومة سوف تستخدم.ليس هناك إجابة بسيطة أو صفة ، أنا خائف.
إذا كنت ترغب في تجربة ، عليك أن تفعل أفضل بكثير للحفاظ على الخادم الخاص و استخدام VPN إذا كنت بحاجة إلى العمل على ذلك عن بعد.
