[server] 새로운 우분투 서버 보안 [닫기]

Ubuntu를 새로 설치했다고 가정하면 Rails 응용 프로그램 서버로 사용하기 위해 어떤 단계를 수행해야합니까?



답변

우분투 특정 조정은 생각할 수 없지만 다음은 모든 배포판에 적용되는 몇 가지입니다.

  1. 불필요한 모든 패키지 제거
  2. SSH에서 공개 키 전용 인증 사용
  3. SSH를 통한 루트 로그인 비활성화 (우분투에는 적용되지 않음)
  4. PHP 생산 설정 사용 (php.ini 권장)
  5. 소켓 만 사용하도록 MySQL 구성

물론이 목록은 완전하지 않습니다, 당신은 완전히 안전 할 수 없을거야,하지만 모두가 활용 커버 내가 실제 생활에서 볼 수있다.

또한 내가 본 익스플로잇은 거의 안전하지 않은 구성이 아니라 안전하지 않은 사용자 코드와 관련이 있습니다. 최소한의 서버 배포에서 기본 구성은 상당히 안전한 경향이 있습니다.


답변

내가 한 빠른 일 중 하나는 DenyHosts 설치 입니다 . 정기적으로 / var / log / secure를 살펴보고 실패한 로그인을 찾고 몇 번의 실패 후 IP를 차단합니다. 첫 번째 사용자가 아닌 사용자, 루트에서 두 번째 시도 및 실제 사용자에 대한 두 번의 시도 후 차단하도록 설정했습니다 (엉망이긴하지만 SSH 공개 키를 사용하여 로그인해야 함).


답변

우분투는 데비안을 기반으로하고 있으며 데비안 기반 배포판에서 데비안 매뉴얼 배포가 시스템을 완전히 안내하고 모든 부분을 검사하는 데 매우 유용하다는 것을 알았습니다 . 기본적으로 귀하의 질문에 대한 정말, 포괄적 인 답변입니다.


답변

나는 보통 RKHunter를 설치합니다.이 키트는 루트킷을 검사하고 다양한 중요한 시스템 바이너리의 무결성 검사를 수행합니다. 표준 저장소에 있으며 매일 cron에서 실행됩니다. 완벽하고 안전하지는 않지만 추가하는 노력이 적고 보호 수단을 제공합니다.


답변

logcheck를 설치하십시오. 그러나 정기적 인 이벤트로부터 메시지를받지 않도록 조정하십시오. 그렇지 않으면 이메일을 무시하는 습관이 생깁니다.

netstat를 사용하여 수신중인 프로세스를 확인하고 실행할 필요가없는 프로세스가 없는지 확인하십시오. 모든 데몬 대신 내부 IP (또는 로컬 호스트)에서 수신 대기하도록 많은 데몬을 구성 할 수 있습니다.


답변

제안 할 수있는 일을하십시오 …

호스트를 Nmap하고 필수가 아닌 모든 서비스를 비활성화하십시오. 필요한 경우 iptables를 사용하십시오.


답변

서버가있는 인터넷 근처 어디든 갈 경우 snort와 같은 침입 탐지 시스템을 설치하십시오.