该应用程序将是一个分类广告网站(如gumtree.co.uk),用户可以在其中销售他们的项目,上传图像,发送和接收来自管理员的电子邮件.它将为某些页面使用SSL.我需要SSH.
到目前为止,我为确保我的股票Ubuntu(最新版本)所做的工作如下:
注意:我可能做了一些阻止应用程序完成所有任务的事情,所以请让我知道.我的机器的唯一目的是托管该网站.
(我把数字作为要点,这样你就可以更容易地参考它们)
1)防火墙
我安装了简单的防火墙.
否认IN&默认为OUT
规则:
允许IN& OUT:HTTP,IMAP,POP3,SMTP,SSH,UDP端口53(DNS),UDP端口123(SNTP),SSL,端口443
(我不允许的是FTP,NFS,Samba,VNC,CUPS)
当我安装MySQL& Apache,我将打开端口3306 IN& OUT.
2)保护分区
在/ etc / fstab中,我在最后添加了以下行:
tmpfs /dev/shm tmpfs defaults,rw 0 0
然后在console中:mount -o remount / dev / shm
3)保护内核
在文件/etc/sysctl.conf中,有一些不同的过滤器可以取消注释.我不知道哪个与网络应用托管相关.我应该激活哪一个?它们如下:
A)在所有接口中打开源地址验证以防止欺骗攻击
B)取消注释下一行以启用IPv4的数据包转发
C)取消注释下一行以启用IPv6的数据包转发
D)不接受ICMP重定向(我们不是路由器)
E)仅接受我们的默认网关列表中列出的网关的ICMP重定向
F)不要发送ICMP重定向
G)不接受IP源路由数据包(我们不是路由器)
H)Log Martian Packets
4)配置passwd文件
对于除用户帐户和root之外的所有帐户,将“sh”替换为“false”.
我也为名为sshd的帐户做了这件事.我不确定它是否会阻止SSH连接(我想使用它)或者它是否是其他东西.
5)配置影子文件
在控制台中:passwd -l锁定除用户帐户以外的所有帐户.
6)安装rkhunter和chkrootkit
7)安装Bum
禁用这些服务:“高性能邮件服务器”,“不可读(kerneloops)”,“不可读(语音调度程序)”,“恢复DNS”(这应该继续吗?)
8)安装Apparmor_profiles
9)安装clamav& freshclam(防病毒和更新)
我做错了什么,我应该做些什么来保护这台Linux机器?
非常感谢提前
解决方法
My machine’s sole purpose will be hosting the website
但是你打开了“IMAP,POP3”的端口.是运行网站所必需的吗?或者这也是一个邮件服务器.
忘记像rkhunter这样的工具,他们充满了误报和漏报.他们寻找诸如“文件被意外更改以包含一些已知rootkit的一小部分”之类的内容,当“文件意外更改”应该足以发出警报. samhain是一个很好的工具,可以在文件更改时收到警报.
当您应该升级安全补丁程序包时,您将如何收到警报?不要依赖这里的人来观看邮件列表,或者定期检查.在执行安全更新之前,您需要一些能够主动阻止人们的东西. icinga或nagios或类似的东西可以帮到这里.
禁止通过ssh进行密码登录.让人们使用密钥.如果你让他们使用密码,他们会选择不好的密码.
除了通过检测ssh暴力尝试来帮助保护盒子之外,fail2ban还可以配置为帮助您确保应用程序的安全性.如果有人试图强行使用其他用户的密码,它可以捕获.
你可以用“保护fstab”走得更远. / home需要exec吗?用户需要readrwite吗?或只读,直到你进行升级.
考虑使用logwatch或logcheck之类的东西来清理系统日志文件和电子邮件管理员以及有趣的日志事件.两者都需要大量调整,以便它们不仅仅成为每个人都被快速训练忽略的电子邮件,因为它们通常只是充满了平庸的信息.
