新しいUbuntuサーバーの保護[終了]

回答:

25

Ubuntu固有の調整は考えられませんが、すべてのディストリビューションに適用されるいくつかの例を以下に示します。

  1. 不要なパッケージをすべてアンインストールします
  2. SSHで公開鍵のみの認証を使用する
  3. SSH経由のルートログインを無効にします(Ubuntuには適用されません)
  4. PHPの運用設定を使用する(php.ini-recommended)
  5. ソケットのみを使用するようにMySQLを構成する

もちろん、このリストは完全ではなく、完全に安全になることは決してありませんが、実生活で見たすべてのエクスプロイト網羅しています。

また、私が見たエクスプロイトは、ほとんどの場合、セキュアでない構成ではなく、セキュアでないユーザーコードに関連していました。最小限のサーバー配布のデフォルト構成は、かなり安全である傾向があります。

Can BerkGüder
ソース
1
MySQL(ソケットのみを使用するように構成する場合は役に立たない)、FTP(安全である場合はFTPを使用しないでください)、SSHおよびあらゆる種類のサービスのポートを変更します。
ジョシュハント
3
「不要なパッケージをすべてアンインストールします」。OK。それはかなりあいまいです。どのような「不要な」パッケージですか?
ルーク
2
@ルーク:使用していないものは不要です。マシンを不必要なリスクにさらす必要がない、より具体的な実行中のサービス。
アンドリオイド2009
@Luke:cat / etc / servicesからいくつかのアイデアが得られるはずです。
jeshurun
17

私が早い段階でやっていることの1つは、DenyHostsをインストールすることです。/ var / log / secureを定期的に調べて、失敗したログインを探し、2、3の失敗後にIPをブロックします。最初のno-such-user、rootでの2回目の試行、および実際のユーザーの2、3回の試行後にブロックするように設定します(混乱した場合に備えて、SSH公開キーを使用してログインする必要があります)。

アリスター・ブルマン
ソース
3
あなたはsourceforgeのホームページへのリンクとして- denyhostsを「適性denyhostsのインストールはsudo」を経由してリポジトリ(宇宙)にも使用可能です
オラフ・
良い点は@olaf。私がインストールしたサーバーのほとんどはRHELであり、DAGのリポジトリにもあります。
アリスターブルマン
denyhostsのために1
wimvds
2
DenyHostsは、sshブルートフォース攻撃のみを検出してブロックするようです。より良い選択はfail2ban(リポジトリでも利用可能)です。これは、Apacheログなどを含むさまざまなものを監視します。で、コミュニティのwikiをチェックhelp.ubuntu.com/community/Fail2ban
jeshurun
10

UbuntuはDebianをベースにしています。Debianベースのディストリビューションでは、システムを完全に確認し、すべての部分をチェックするのに、Securing Debian Manualが非常に役立つことがわかりました。基本的に、あなたの質問に対する本当に包括的な答えです。

マイク・マッケイド
ソース
そのためのリンクはありますか?
1
申し訳ありませんが、リンクは投稿にあると思いました。場所:debian.org/doc/manuals/securing-debian-howto
Mike McQuaid
5

私は通常、RKHunterをインストールします。これは、ルートキットをスキャンし、さまざまな重要なシステムバイナリの整合性チェックを行います。これは標準のリポジトリにあり、cronから毎日実行されます。セキュリティ面では完璧ではありませんが、追加する手間がかからないアイテムであり、保護の手段を提供します。

ティム・ハウランド
ソース
4

logcheckをインストールしますが、通常のイベントからメッセージを受け取らないように調整します。そうしないと、メールを無視する習慣がつきます。

netstatを使用して、どのプロセスがリッスンしているかを確認し、実行する必要のないものが何も実行されていないことを確認します。多くのデーモンは、すべてのインターフェースではなく、内部IP(またはローカルホスト)でリッスンするようにのみ構成できます。

マイクエイジ
ソース
3

サーバーを使用してインターネットの近くに行く場合は、snortなどの侵入検知システムをインストールします。

ティモ・グッシュ
ソース
3

いくつかのファイアウォールの提案。

ファイアウォールの使用方法と、ボックスを適切にロックする概念を学びます。デフォルトのポートを変更することはほとんど役に立ちません。適切なアプリケーションとファイアウォールの構成がはるかに重要です。

どちらもUbuntuリポジトリにあります。

FireHOL

すばらしいドキュメントがあり、構文を学ぶのは非常に簡単です。20分でゲートウェイ/ファイアウォールをセットアップすることができました。私がこれから離れた唯一の理由は、それが維持されていないようだということです(最後のリリースは2年前)。機能しないわけではありませんが、...

フェルム

別のものです。より多くのiptablesのような構文ですが、概念は同じです。FireHOLよりも多くのコミュニティが維持されていますが、取得に時間がかかります。

ショアウォール

私が現在使用しているものです。そのドキュメントは広範であり、その構成形式は表形式です。動作するファイアウォール/ゲートウェイ構成を実行するために必要なすべてのファイル(6)を理解するのに約1時間半かかりました。それは非常に強力です。ヒント:さまざまな構成ファイルのmanページは本当に役立ちます!

これらはすべて、構成ファイルからファイアウォール構成をロードします。非常に効果的で、iptablesよりも使いやすく、(私の意見では)ufwよりも使いやすく、管理しやすいです。

その他:

  • 次に、SSHキーの使用に関する推奨事項を説明します。

  • IDSをセットアップします。

  • AppArmorについて学びます。実行可能ファイルのファイルアクセスを、必要な指定されたディレクトリとファイルのみに制限します。RHELの世界のSELinuxに似ています。多くのよく使用されるプログラム用に事前設定された「プロファイル」でインストールおよび有効化されます。

ルークには名前がありません
ソース
2

ここでの他の提案と同様に、明白ですが、おそらく完全性のために言及する価値がある3つに言及します。

  1. ファイアウォールが必要だと思わない場合は、もう一度考え直してください。ufwはシンプルですが、Ubuntu用に設計されており、iptablesに基づいています
  2. パッケージを更新します。少なくとも、すべてのセキュリティパッチを適用します
  3. サーバーを保護するために行ったこととその理由を文書化します。ログを監視し、構成をテストし、必要なセキュリティ更新を報告するための構成(自動化)プロセスを含めます。
マス
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.