¿Cómo puedo asegurar una instalación de VPS?


16

¿Cuáles son los pasos básicos para asegurar una instalación de VPS en los que planeo instalar Webmin para alojar mis blogs y proyectos personales?


Sería útil si proporcionara detalles del sistema operativo.
Tim Post

Una instalación de Linux: lo más probable es que sea Ubuntu o CentOS.
JFW

Respuestas:


13

La respuesta de danlefree a esta pregunta similar es bastante relevante aquí: ¿Qué tan difícil es un VPS no administrado?

Asegurar un servidor es más que una tarea única.

Las tareas iniciales únicas incluyen:

  • Endurecimiento de SSHd (hay una serie de consejos y tutoriales para esto, este fue el primer buen aspecto que surgió de una búsqueda.
  • Asegurarse de que los servicios innecesarios estén apagados (o mejor, desinstalados).
  • Asegúrese de que los servicios que no necesitan estar disponibles públicamente no lo estén. Por ejemplo, configure su servidor de base de datos para que solo escuche en las interfaces locales y / o agregue reglas de firewall para bloquear los intentos de conexión externa.
  • Asegurarse de que los usuarios que procesa su servidor web (y otros servicios) se ejecutan, ya que no tienen acceso de lectura a los archivos / directorios que no son relevantes para ellos y no escriben nada más a menos que necesiten acceso de escritura a los archivos / directorios seleccionados (para aceptar imágenes cargadas, por ejemplo).
  • Configure una buena rutina de copia de seguridad automatizada para mantener copias de seguridad en línea (preferiblemente en otro servidor o en casa) para que su contenido se copie en otro lugar para que pueda recuperarlo en el peor de los casos en el servidor (bloqueo irrecuperable completo o piratería)
  • Conozca todas las herramientas que ha instalado en su servidor (lea la documentación, quizás instálelas en un entorno de prueba, digamos una VM local en virtualbox, para probar diferentes configuraciones y romperlas + arreglarlas) para que tenga la oportunidad de poder para solucionar problemas si ocurren (o al menos diagnosticarlos adecuadamente para que pueda ayudar a otra persona a solucionar el problema). ¡Te agradecerás por el tiempo dedicado a esto en algún momento en el futuro!

Las tareas en curso incluyen:

  • Asegurarse de que las actualizaciones de seguridad para su sistema operativo base se apliquen de manera oportuna. Se pueden usar herramientas como apticron para mantenerlo informado sobre las actualizaciones que deben aplicarse. Evitaría configuraciones que apliquen actualizaciones automáticamente: desea revisar lo que está a punto de cambiar antes de ejecutar (en el caso de debian / ubuntu) aptitude safe-upgrade, para que sepa lo que está a punto de hacer en su servidor.
  • Asegúrese de que las actualizaciones de las bibliotecas / aplicaciones / scripts que instale manualmente (es decir, no de los repositorios estándar de sus distribuciones que usan la administración de paquetes incorporada) también se instalen de manera oportuna. Tales bibliotecas / aplicaciones / scripts pueden tener sus propias listas de correo para el anuncio de actualizaciones, o puede que solo tenga que monitorear sus sitios web regularmente para mantenerse informado.
  • Mantenerse informado sobre los problemas de seguridad que deben corregirse mediante cambios de configuración en lugar de paquetes parcheados o que deben solucionarse hasta que se cree un paquete parcheado + probado + lanzado. Suscríbase a las listas de correo relacionadas con la seguridad administradas por las personas que mantienen su distribución y vigile los sitios de tecnología que también pueden informar dichos problemas.
  • Administrar alguna forma de copia de seguridad fuera de línea para una paranoia adicional. Si realiza una copia de seguridad de su servidor en una máquina doméstica, escriba una copia en un CD / DVD / memoria USB de forma regular.
  • Probar sus copias de seguridad ocasionalmente para que sepa que funcionan correctamente. Una copia de seguridad no probada no es una buena copia de seguridad. No desea que su servidor muera y luego descubra que sus datos no han sido respaldados adecuadamente durante algunos meses.

Todas las distribuciones de Linux buenas se instalan en un estado razonablemente seguro listo para usar (al menos después del primer conjunto de actualizaciones cuando se introducen los parches de seguridad que se han lanzado desde que se presionó / ​​lanzó el CD / imagen de instalación) El trabajo no es difícil, pero llevará más tiempo hacerlo bien de lo que cabría esperar.


4

Lo mejor de un VPS de Linux es que son bastante seguros listos para usar. Mi primera recomendación es hablar con su anfitrión y ver si endurecen u optimizan la seguridad para usted. La mayoría de los VPS con un panel de control (webmin, cpanel, etc.) están "administrados" y harán mucho por usted. Especialmente si no estás muy seguro de lo que estás haciendo, esta es la mejor opción, en mi opinión.

Si está solo, primero mire un firewall como APF (Advanced Policy Firewall?) O CSF (ConfigServer Firewall). CSF tiene la opción de una detección de falla de inicio de sesión, y si intenta iniciar sesión y falla muchas veces, automáticamente prohíbe su dirección IP. No estoy seguro de que sean "necesarios" ya que Linux no responde en los puertos, de todos modos no está escuchando el tráfico, pero ciertamente ofrecen algo de tranquilidad. Y si tiene muchos puertos abiertos para una variedad de tráfico, entonces tal vez sí, quiere un firewall.

Probablemente lo más importante es asegurarse de que las aplicaciones que instale estén actualizadas. Se piratean más sitios a través de un exploit de Wordpress (por ejemplo) que a través de algún exploit en el sistema operativo del servidor. Si tiene secuencias de comandos de codificación personalizadas, asegúrese de vigilar también la seguridad, ya que no desea dejar inadvertidamente una puerta abierta a través de algo tonto como su formulario de contacto.



2
  • Eliminar servicios no deseados ( netstat es tu amigo)

  • Deshabilite el anuncio de servicio (revelar sus números de versión es excelente para Scriptkiddies )

  • Cambie los números de puerto administrativos (no públicos) a algo oscuro (SSH en 22 se escaneará continuamente)

  • Calcule sus cuotas y límites: cgroups , limits.conf , qos , etc., y vigílelos activamente, si un código de desarrollador web o un ataque DDoS derriban su sitio y hacen que su caja sea inaccesible, será demasiado tarde para solucionarlo.

  • Algunas distribuciones tienen perfiles SELinux / AppArmor / etc. para aplicaciones basadas en red, úselas

Los primeros tres se pueden realizar a través de WebMin (de una manera). Sin embargo, es posible que desee consultar ServerFault para esto.



1

Solo algunos puntos. - Cambia tu puerto SSH. - Deshabilitar la lista de directorios de los archivos. - Eliminar la firma del servidor, tokens. - Instalar un cortafuegos

hay muchas más cosas ... acabo de decir cosas que me llegaron ahora ...

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.