确保一个linux服务器公共访问
https://stackoverflow.com/questions/5078
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我想设置一个便宜的Linux作为一个网络服务器主办的各种网络技术(PHP和Java EE,但我喜欢尝试红宝石或蟒蛇在未来)。
我相当熟悉在设立Tomcat运行在Linux用于服务了Java EE应用程序,但是我想可以打开这个服务器,即使只是让我可以创建一些工具,我可以使用的话我在办公室工作。所有的经验,我们已经与配置Java EE网站已经全部内联网应用程序在那里我们被告知不要把重点放在确保该网页为外部用户使用。
什么是您的建议设立一个人Linux网络服务器在一个足够安全的方式来打开它,为外部的交通吗?
解决方案
这篇文章有一些最好的方法,锁定下来的东西:
http://www.petefreitag.com/item/505.cfm
一些亮点:
- 确保没有一个可以浏览的目录
- 确保只有根有写特权的一切,只有根有读特权的某些配置文件
- 运行mod_security
该条款还需要一些指针,从这本书:
Apache Securiy (O'Reilly按)
尽量发行版,我已经运行Debain和Ubuntu,但它只是多少取决于你想做的事情。我跑Debian没有X只是ssh会到它每次我需要什么。这是一个简单的方法来保持开销下降。或Ubuntu有一些漂亮的图形用户界面的东西,使它容易控制Apache/MySQL/PHP.
其他提示
重要的是要按照安全最佳做法,只要可能,但你不想让事情过分困难为自己或失去睡眠令人担忧的关于跟上最新的攻击。以我的经验,有两个关键的事情,可以帮助确保你的个人服务器安全的足以扔在互联网上,同时保留你的理智:
1)通过隐藏的安全
不用说,依靠这个在"现实世界"是一个糟糕的想法而不可受理。但那是因为在现实世界中,坏人知道什么是那里并没有战利品了。
在个人服务,多数'攻击'你会受到将自动扫描机器已经受到损害,寻找默认设施的产品称为是脆弱的。如果你的服务器并没有提供任何诱人上默认的港口或该地点的默认,自动攻击者将行动。因此,如果你要运行一个ssh服务器,把它放在一个非标准的港口(>1024)和可能,它将永远不会被发现。如果你可以逃脱这种技术对于您的网络服务器那么大,转移到一个模糊口。
2)包的管理
不要编译并安装Apache或硬盘源从自己的除非你绝对必要的。如果你做了,你的责任保持最新的最新的安全补丁。让漂亮的包装的维护者从Linux发行版这类作为或Debian Ubuntu做的工作。安装发行版的编译软件包,并保持目前成为一个问题发出的偶尔 易于得到更新和&apt-得到-u区升级 命令,或者使用什么花哨的GUI工具Ubuntu提供。
有一件事你应该一定要考虑的是什么样的端口是开放的世界。我个人只是打开口22SSH和港口123ntpd.但是,如果你开口80(http)或ftp确保学习至少知道你是什么服务的世界,谁能做什么。我不知道很多关于ftp,但也有数以百万计的大Apache教程只是谷歌搜索程。
@svrist提到EC2。EC2提供了一个API用于开启和关闭的港口。这样,就可以保持你的盒子在运行。如果你需要得到演示从一个咖啡店或一个客户的办公室,你可以抓住你的IP并将它添加到ACL。
其安全和安全如果你保持你的声音了关于它的(即,很少会有人来找你的家庭服务器如果你只是举办一个荣耀的安装了一个家庭连接)以及你的智慧,关于您的构成(即,避免使用根于一切,确保你继续你的软件最多的日期)。
在这方面,尽管这个线程将有可能缩小下来,只是火红的,我建议您的个人服务是要坚持任何Ubuntu(获得Ubuntu服务器在这里);以我的经验,最快得到答案是从哪里问题论坛(不知道该说什么对摄取尽管).
我的家庭服务器的安全顺便说一句有点好处(我认为,或我想)从没有一个静态IP(上运行的一).
祝你好运!
/mp
小心关于开SSH口到野外。如果你这样做,确保禁根登录(你可以随时 su 或 sudo 一旦你得到在),并考虑更积极的认证方法在合理范围内。我看到了一个巨大的字典攻击在我的服务器记录在一个周末去后我SSH服务器从一家IP的服务器。
这就是说,它真的很棒,能够得到您的家外壳从工作或离开...和增加的事实是,你可以使用蔽在同一口,我不能想象没有它的生活。=)
你可以考虑一个 EC2实例来自亚马逊的.这样,你可以容易地检验出来的"东西"没有搞乱了生产。和只支付用于空间、时间和带宽的使用。
如果你做的运行Linux服务器从家里安装 ossec 在这一漂亮的轻型标识的作品真的很好。
[编辑]
作为一个侧面说明,确保不违反你的服务提供商的可接受用途的政策 和 他们允许进入的连接标准的港口。ISP我曾经工作过这写在自己的术语可能被中断运行服务器的端口80/25除非你在一个企业类账户。虽然我们没有积极地阻止这些港口(我们不在乎,除非它是造成一个问题)一些Isp不要让任何通过口80或25所以,你将不得不使用的备用港口。
如果你要做到这一点,花一点钱,并在少购买专用路由器/防火墙与一个独立的非军事区的港口。你会想要防火墙关闭你的内部网络服务器,以便在(如果不!) 你的网服务器遭到破坏,内部网络并不是立即脆弱。
有很多方法可以做到这一点,会工作得很好。我会通常仅使用一个。就文件。快设立和安全 够了 .可能不是最好的选择,但是这对我的作品。我不会把我的信用卡号码在它的背后,但除此之外,我并不真正关心。
哇,你在开放的蠕虫可以尽快开始开任何东西,为外部的交通。记住什么你考虑一个实验服务器,几乎像一个牺牲的羔羊,也是容易的选择为人们寻找做坏事网络和资源。
你的整个方法的一个外部提供的服务器应该是非常保守和彻底的。它开始跟简单的事情,如防火墙的政策,包括基础的操作系统(保持它修补,配置,用于安全,等等。) 和涉及到每一层的每一堆你会被使用。没有一个简单的答案或配方,我很害怕。
如果你想尝试,你会做的更好保持服务器的私人和使用VPN如果你需要在它的工作远程。
