Ubuntu 10.04, सर्वर संस्करण की ओर बात करते हुए, आप सर्वर को सुरक्षित करने के लिए कौन से उपकरण / प्रथाओं की सिफारिश करेंगे?
Ubuntu 10.04, सर्वर संस्करण की ओर बात करते हुए, आप सर्वर को सुरक्षित करने के लिए कौन से उपकरण / प्रथाओं की सिफारिश करेंगे?
जवाबों:
यह थोड़ा गैर-विशिष्ट है, लेकिन सामान्य तौर पर आपको इसकी आवश्यकता होगी
पोर्ट खोलने के लिए कनेक्शन प्रबंधित करने के लिए iptables या ufw जैसे फ़ायरवॉल चलाएं ।
केवल अपनी आवश्यकता के सॉफ़्टवेयर स्थापित करें।
केवल उन सेवाओं को चलाएं जो सर्वर को चलाने के लिए आवश्यक हैं।
उस सॉफ़्टवेयर को सभी सुरक्षा पैच के साथ अद्यतित रखें।
नए उपयोगकर्ताओं को अपने कर्तव्यों को पूरा करने के लिए आवश्यक न्यूनतम विशेषाधिकार के साथ सेट अप करें।
जानवर बल के हमलों की जांच करने के लिए denyhosts या fail2ban चलाएँ ।
लॉग फ़ाइलों में किसी भी विसंगतियों के लिए आपको ईमेल करने के लिए लॉगवाच चलाएँ ।
संदिग्ध गतिविधियों के लिए अक्सर अपने लॉग की जाँच करें।
हमेशा sudo का उपयोग करें और मजबूत पासवर्ड का उपयोग करें।
एसएसपी में अपाचे, एक्जिम, प्रोफटीडी, डोवॉटॉट आदि के लिए कमजोर और मध्यम शक्ति साइफर को अक्षम करें।
केवल लोकलहोस्ट (जहां उपयुक्त हो) सुनने के लिए सेवाएं सेट करें।
रोजाना चकरोटकिट चलाएं ।
विंडोज़ वायरस (यदि उपयुक्त हो) की जाँच के लिए जितनी बार आवश्यक हो, क्लैमस्कैन चलाएं ।
सतर्क रहें, अपने सर्वर को जानें, जानें कि यह क्या करना चाहिए और यह क्या कर रहा है।
आप केवल लगातार जाँच और सुरक्षित करके चीजों को सुरक्षित रखेंगे। यदि आप नहीं जानते कि कुछ क्या करता है या कैसे या क्यों, या कुछ संदिग्ध दिखता है, तो बस दूसरों से सलाह लें।
रिचर्ड होलोवे द्वारा भयानक उत्तर। यदि आप स्टेप गाइड द्वारा एक विशिष्ट चरण की तलाश कर रहे हैं, तो स्लाइसहोस्ट लाइब्रेरी से निम्नलिखित 2 भाग गाइड चेकआउट करें।
जब मैं एक उबंटू सर्वर उदाहरण को सेटअप करना होता है तो मैं लगभग हर जगह इसका उपयोग करता हूं। मुझे यकीन है कि आप इसे पसंद करेंगे।
अन्य महान स्रोत http://library.linode.com/ पर लिंडोड लाइब्रेरी है।
दोनों स्थानों पर लेख देखें। चेतावनी के भार वहां उपलब्ध हैं और आपको अपने सर्वर को ठीक रखने के लिए पर्याप्त ज्ञान से लैस किया जाएगा।
पुनश्च: किसी भी तरह से, एक पुस्तकालय एक महान sys व्यवस्थापक के अंतर्ज्ञान, अंतर्दृष्टि और निर्णय लेने की क्षमताओं के लिए एक विकल्प हो सकता है।
कुछ ऐसा नहीं है जिसका मैं उल्लेख करता हूं "64 बिट का उपयोग करें"। यह सुनिश्चित करता है कि आपको NX मेमोरी प्रोटेक्शन, अन्य चीजों के साथ मिला है।
तीन चीजें जो मैं सुझाता हूं:
सभी विश्व स्तर पर लिखने योग्य क्षेत्रों (/ tmp, / var / tmp) को 'noexec' के रूप में माउंट करें: यह अधिकांश भाग quirks के बिना सुरक्षित है, सिवाय (लेखन के) जब तक आप अपने सिस्टम को अपग्रेड करना नहीं चुनते। अधिक विवरण के लिए लॉन्चपैड पर बग # 572723 देखें।
किसी भी संकलक या असेंबलर को स्थापित न करें जब तक कि बिल्कुल आवश्यक न हो: मुझे लगता है कि यह आत्म व्याख्यात्मक है।
AppArmor के साथ आरंभ करें: AppArmor को SELinux के विकल्प के रूप में देखा जा सकता है, और उबंटू से सैंडबॉक्स चलाने वाले एप्लिकेशन के लिए इसकी बड़ी विशेषता है यह सुनिश्चित करने के लिए कि उनकी ज़रूरत से ज़्यादा पहुंच नहीं है। यदि आप रुचि रखते हैं तो मैं मंचों पर गाइड की समीक्षा करने की सलाह देता हूं। http://ubuntuforums.org/showthread.php?t=1008906
अगर मैं आप होते, तो मैं iptables (मानक लिनक्स फ़ायरवॉल) में देखता और देखता कि कौन सी सेवाएँ चल रही हैं। मूल रूप से आप केवल उन सेवाओं को चलाना चाहते हैं जिनकी आपको आवश्यकता है, अर्थात जब आप केवल ईमेल सर्वर सेटअप करना चाहते हैं, तो वेब सर्वर नहीं चलाना, और केवल उन पोर्ट को खोलना है जिनकी आपको वास्तव में आवश्यकता है। बाकी सब कुछ बंद होना चाहिए!
Iptables के लिए गाइड: https://help.ubuntu.com/community/IptablesHowTo
उम्मीद है की यह मदद करेगा!
ps यदि आपको irc पर जाने में अधिक सहायता की आवश्यकता है और freenode पर # ubuntu-server चैनल को हिट करें
फायरवॉल के लिए आप एक बार देख @ हो सकता था फायरस्टार्टर या UFW साथ gufw ।