it-swarm-ko.tech

새로운 우분투 서버 보안

Ubuntu를 새로 설치했다고 가정하면 Rails 응용 프로그램 서버로 사용하기 위해 어떤 단계를 수행해야합니까?

37
Codebeef

우분투 특정 조정은 생각할 수 없지만 다음은 모든 배포판에 적용되는 몇 가지입니다.

  1. 불필요한 모든 패키지 제거
  2. SSH에서 공개 키 전용 인증 사용
  3. SSH를 통한 루트 로그인 비활성화 (우분투에는 적용되지 않음)
  4. PHP (php.ini 권장)에 대한 제작 설정 사용
  5. 소켓 만 사용하도록 MySQL 구성

물론이 목록은 완전하지 않으며 완전히 안전하지는 않지만 모든 악용 [~ # ~] i [~ # ~] 실생활에서 보았습니다.

또한 내가 본 익스플로잇은 거의 항상 안전하지 않은 구성이 아니라 안전하지 않은 사용자 코드와 관련이있었습니다. 최소한의 서버 배포에서 기본 구성은 상당히 안전한 경향이 있습니다.

25
Can Berk Güder

내가 빨리하는 것 중 하나는 install DenyHosts 입니다. 정기적으로/var/log/secure를 살펴보고 실패한 로그인을 찾고 몇 번의 실패 후 IP를 차단합니다. 첫 번째 사용자가 아닌 사용자, 루트에서 두 번째 시도 및 실제 사용자에 대한 두 번의 시도 후 차단하도록 설정했습니다 (엉망이긴하지만 SSH 공개 키를 사용하여 로그인해야 함).

17
Alister Bulman

우분투는 데비안을 기반으로하고 있으며 Sebianing Debian Manual 은 데비안 기반 배포판에서 시스템을 완전히 살펴보고 모든 부분을 검사하는 데 매우 유용하다는 것을 알았습니다. 기본적으로 귀하의 질문에 대한 정말, 포괄적 인 답변입니다.

10
Mike McQuaid

나는 보통 RKHunter를 설치합니다.이 키트는 루트킷을 검사하고 다양한 중요한 시스템 바이너리의 무결성 검사를 수행합니다. 표준 저장소에 있으며 매일 cron에서 실행됩니다. 완벽하고 안전하지는 않지만 추가하기가 적은 항목이며 보호 수단을 제공합니다.

5
Tim Howland

Logcheck를 설치하십시오. 그러나 정기적 인 이벤트로부터 메시지를받지 않도록 조정하십시오. 그렇지 않으면 이메일을 무시하는 습관이 생깁니다.

Netstat를 사용하여 수신중인 프로세스를 확인하고 실행할 필요가없는 프로세스가 없는지 확인하십시오. 모든 데몬 대신 내부 IP (또는 로컬 호스트)에서 수신 대기하도록 많은 데몬을 구성 할 수 있습니다.

4
Mikeage

제안 할 수있는 일을하십시오 ...

호스트를 Nmap하고 필수가 아닌 모든 서비스를 비활성화하십시오. 필요한 경우 iptables를 사용하십시오.

3
Jauder Ho

/tmp 또는 /var와 같은 다양한 디렉토리에 대해 별도의 파티션을 사용하고 가능한 경우 nosuid, nodevnoexec로 마운트하십시오.

3
Cristian Ciupitu

서버가있는 인터넷 근처 어디든 갈 경우 snort와 같은 침입 탐지 시스템을 설치하십시오.

3
Timo Geusch

일부 방화벽 제안.

방화벽을 사용하고 상자를 올바르게 잠그는 개념을 배우십시오. 기본 포트를 변경하는 것은 크게 쓸모가 없습니다. 적절한 응용 프로그램 및 방화벽 구성이 훨씬 중요합니다.

둘 다 우분투 저장소에 있습니다.

FireHOL

훌륭한 문서가 있으며 구문을 익히기가 매우 쉽습니다. 20 분 안에 게이트웨이/방화벽을 설정할 수있었습니다. 내가 이것을 벗어난 유일한 이유는 그것이 유지되지 않는 것입니다 (2 년 전 마지막 릴리스). 작동하지 않는다는 의미는 아니지만 ...

정자

또 하나입니다. 더 iptables와 같은 구문이지만 동일한 개념. FireHOL보다 더 많은 커뮤니티가 유지되지만 픽업하는 데 시간이 더 걸립니다.

장벽

내가 현재 사용하는 것입니다. 설명서는 광범위하며 구성 형식은 표 형식입니다. 작동하는 방화벽/게이트웨이 구성을 실행하는 데 필요한 모든 파일 (6)을 이해하는 데 약 1 시간 30 분이 걸렸습니다. 꽤 강력합니다. 팁 : 다른 구성 파일에 대한 매뉴얼 페이지는 정말 유용합니다!

이러한 모든 구성 파일에서 방화벽 구성을로드합니다. iptables보다 매우 효과적이고 사용하기 쉬우 며 ufw보다 사용하기 쉽고 관리하기 쉽습니다.

다른:

  • SSH 키 사용에 대한 권장 사항은 두 번째입니다.

  • IDS를 설정하십시오.

  • AppArmor에 대해 알아보십시오. 실행 파일의 파일 액세스를 지정된 디렉토리 및 필요한 파일로만 제한합니다. RHEL 세계의 SELinux와 유사합니다. 잘 사용되는 많은 프로그램을 위해 사전 구성된 '프로필'로 설치 및 활성화됩니다.

3
Luke has no name

여기에 다른 제안뿐만 아니라 명확하지만 완전성에 대해 언급 할 가치가있는 세 가지를 언급 ​​할 것입니다.

  1. 방화벽이 필요 없다고 생각되면 다시 생각하십시오. ufw는 간단하지만 우분투 용으로 설계되었으며 iptables 기반
  2. 패키지 업데이트 : 최소한 모든 보안 패치를 적용하십시오.
  3. 서버 보안을 위해 수행 한 작업과 그 이유를 문서화하십시오. 로그를 모니터링하고 구성을 테스트하고 필요한 보안 업데이트를보고하는 자동화 된 프로세스 구성을 포함합니다.
2
mas