एक सर्वर को कैसे सुरक्षित किया जाना चाहिए? [बन्द है]


22

Ubuntu 10.04, सर्वर संस्करण की ओर बात करते हुए, आप सर्वर को सुरक्षित करने के लिए कौन से उपकरण / प्रथाओं की सिफारिश करेंगे?

जवाबों:


25

यह थोड़ा गैर-विशिष्ट है, लेकिन सामान्य तौर पर आपको इसकी आवश्यकता होगी

  • पोर्ट खोलने के लिए कनेक्शन प्रबंधित करने के लिए iptables या ufw जैसे फ़ायरवॉल चलाएं ।

  • केवल अपनी आवश्यकता के सॉफ़्टवेयर स्थापित करें।

  • केवल उन सेवाओं को चलाएं जो सर्वर को चलाने के लिए आवश्यक हैं।

  • उस सॉफ़्टवेयर को सभी सुरक्षा पैच के साथ अद्यतित रखें।

  • नए उपयोगकर्ताओं को अपने कर्तव्यों को पूरा करने के लिए आवश्यक न्यूनतम विशेषाधिकार के साथ सेट अप करें।

  • जानवर बल के हमलों की जांच करने के लिए denyhosts या fail2ban चलाएँ ।

  • लॉग फ़ाइलों में किसी भी विसंगतियों के लिए आपको ईमेल करने के लिए लॉगवाच चलाएँ ।

  • संदिग्ध गतिविधियों के लिए अक्सर अपने लॉग की जाँच करें।

  • हमेशा sudo का उपयोग करें और मजबूत पासवर्ड का उपयोग करें।

  • एसएसपी में अपाचे, एक्जिम, प्रोफटीडी, डोवॉटॉट आदि के लिए कमजोर और मध्यम शक्ति साइफर को अक्षम करें।

  • केवल लोकलहोस्ट (जहां उपयुक्त हो) सुनने के लिए सेवाएं सेट करें।

  • रोजाना चकरोटकिट चलाएं ।

  • विंडोज़ वायरस (यदि उपयुक्त हो) की जाँच के लिए जितनी बार आवश्यक हो, क्लैमस्कैन चलाएं ।

  • सतर्क रहें, अपने सर्वर को जानें, जानें कि यह क्या करना चाहिए और यह क्या कर रहा है।

आप केवल लगातार जाँच और सुरक्षित करके चीजों को सुरक्षित रखेंगे। यदि आप नहीं जानते कि कुछ क्या करता है या कैसे या क्यों, या कुछ संदिग्ध दिखता है, तो बस दूसरों से सलाह लें।


9

रिचर्ड होलोवे द्वारा भयानक उत्तर। यदि आप स्टेप गाइड द्वारा एक विशिष्ट चरण की तलाश कर रहे हैं, तो स्लाइसहोस्ट लाइब्रेरी से निम्नलिखित 2 भाग गाइड चेकआउट करें।

  1. http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-1
  2. http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-2

जब मैं एक उबंटू सर्वर उदाहरण को सेटअप करना होता है तो मैं लगभग हर जगह इसका उपयोग करता हूं। मुझे यकीन है कि आप इसे पसंद करेंगे।

अन्य महान स्रोत http://library.linode.com/ पर लिंडोड लाइब्रेरी है।

दोनों स्थानों पर लेख देखें। चेतावनी के भार वहां उपलब्ध हैं और आपको अपने सर्वर को ठीक रखने के लिए पर्याप्त ज्ञान से लैस किया जाएगा।

पुनश्च: किसी भी तरह से, एक पुस्तकालय एक महान sys व्यवस्थापक के अंतर्ज्ञान, अंतर्दृष्टि और निर्णय लेने की क्षमताओं के लिए एक विकल्प हो सकता है।


हमेशा किसी भी मदद की खुशी
मीर नाज़िम

"रिचर्ड होलोवे द्वारा भयानक उत्तर ..." - धन्यवाद आदमी। मैं देख सकता हूं कि हम महान दोस्त बन जाएंगे।
रिचर्ड होलोवे

2

कुछ ऐसा नहीं है जिसका मैं उल्लेख करता हूं "64 बिट का उपयोग करें"। यह सुनिश्चित करता है कि आपको NX मेमोरी प्रोटेक्शन, अन्य चीजों के साथ मिला है।


और यदि आप 32-बिट संगतता मोड का उपयोग करते हैं, तो आपको स्थानीय रूट कारनामे भी मिलते हैं।
vh1

यदि आप कर्नेल सुरक्षा अद्यतन पर वर्तमान में नहीं रहते हैं तो ही। :)
कीस कुक

1

तीन चीजें जो मैं सुझाता हूं:

  • सभी विश्व स्तर पर लिखने योग्य क्षेत्रों (/ tmp, / var / tmp) को 'noexec' के रूप में माउंट करें: यह अधिकांश भाग quirks के बिना सुरक्षित है, सिवाय (लेखन के) जब तक आप अपने सिस्टम को अपग्रेड करना नहीं चुनते। अधिक विवरण के लिए लॉन्चपैड पर बग # 572723 देखें।

  • किसी भी संकलक या असेंबलर को स्थापित न करें जब तक कि बिल्कुल आवश्यक न हो: मुझे लगता है कि यह आत्म व्याख्यात्मक है।

  • AppArmor के साथ आरंभ करें: AppArmor को SELinux के विकल्प के रूप में देखा जा सकता है, और उबंटू से सैंडबॉक्स चलाने वाले एप्लिकेशन के लिए इसकी बड़ी विशेषता है यह सुनिश्चित करने के लिए कि उनकी ज़रूरत से ज़्यादा पहुंच नहीं है। यदि आप रुचि रखते हैं तो मैं मंचों पर गाइड की समीक्षा करने की सलाह देता हूं। http://ubuntuforums.org/showthread.php?t=1008906


1
  • अपने वातावरण के लिए उपयुक्त नियम के साथ iptables स्थापित करें और कॉन्फ़िगर करें । इनबाउंड और आउटबाउंड ट्रैफ़िक दोनों को फ़िल्टर करना।
  • psad पता लगाने के लिए और किसी भी बंदरगाह के बारे में चेतावनी आपके सिस्टम के खिलाफ स्कैन करता है।
  • SSH के खिलाफ क्रूर बल लॉगिन प्रयासों को रोकने के लिए fail2ban का उपयोग करें ।
  • रूट खाते का उपयोग करके दूरस्थ पहुंच को अस्वीकार करें, क्योंकि इसका अर्थ यह है कि यदि कोई हमलावर आपके सर्वर तक बल पहुंच का प्रयास करने जा रहा है, तो उन्हें उपयोगकर्ता नाम और पासवर्ड दोनों का उपयोग करना होगा।
  • सभी उपयोगकर्ता खातों के लिए मजबूत पासवर्ड का उपयोग करें।
  • यदि संभव हो तो केवल कुछ IP पतों से ही SSH की पहुंच सीमित करें।
  • किसी अन्य होस्ट-आधारित घुसपैठ पहचान प्रणाली के ट्रिपवायर का उपयोग करें।
  • नैगियोस जैसे नेटवर्क निगरानी कार्यक्रम के साथ सर्वर की निगरानी करें।

0

अगर मैं आप होते, तो मैं iptables (मानक लिनक्स फ़ायरवॉल) में देखता और देखता कि कौन सी सेवाएँ चल रही हैं। मूल रूप से आप केवल उन सेवाओं को चलाना चाहते हैं जिनकी आपको आवश्यकता है, अर्थात जब आप केवल ईमेल सर्वर सेटअप करना चाहते हैं, तो वेब सर्वर नहीं चलाना, और केवल उन पोर्ट को खोलना है जिनकी आपको वास्तव में आवश्यकता है। बाकी सब कुछ बंद होना चाहिए!

Iptables के लिए गाइड: https://help.ubuntu.com/community/IptablesHowTo

उम्मीद है की यह मदद करेगा!

ps यदि आपको irc पर जाने में अधिक सहायता की आवश्यकता है और freenode पर # ubuntu-server चैनल को हिट करें


हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.