मैं एक VPS स्थापना को कैसे सुरक्षित कर सकता हूं?


16

एक VPS स्थापना को सुरक्षित करने के लिए बुनियादी कदम क्या हैं जो मैं अपने ब्लॉग और व्यक्तिगत परियोजनाओं की मेजबानी के लिए Webmin स्थापित करने की योजना बना रहा हूं?


यदि आप OS विवरण प्रदान करते हैं तो यह मदद करेगा।
टिम पोस्ट

लिनक्स इंस्टॉलेशन-सबसे अधिक संभावना उबंटू या सेंटोस होने की है।
JFW

जवाबों:


13

इसी तरह के सवाल के बारे में danlefree का उत्तर यहां काफी प्रासंगिक है: एक अप्रबंधित VPS कितना मुश्किल है?

सर्वर सुरक्षित करना केवल एक बार के कार्य से अधिक है।

प्रारंभिक एक-बंद कार्यों में शामिल हैं:

  • हार्डिंग एसएसएचडी (इसके लिए कई युक्तियाँ और ट्यूटोरियल हैं, यह पहला अच्छा दिखने वाला था जो एक खोज से आया था।
  • सुनिश्चित करें कि अनावश्यक सेवाएं बंद (या बेहतर, अनइंस्टॉल) कर दी गई हैं।
  • सुनिश्चित करें कि जिन सेवाओं को सार्वजनिक रूप से उपलब्ध होने की आवश्यकता नहीं है, वे नहीं हैं। उदाहरण के लिए, अपने डेटाबेस सर्वर को केवल स्थानीय इंटरफेस पर सुनने के लिए कॉन्फ़िगर करें और / या बाहरी कनेक्शन प्रयासों को अवरुद्ध करने के लिए फ़ायरवॉल नियम जोड़ें।
  • यह सुनिश्चित करना कि आपके वेब सर्वर प्रक्रियाओं (और अन्य सेवाओं) के उपयोगकर्ता क्या कर रहे हैं, क्योंकि उनके पास फ़ाइलों / निर्देशिकाओं के लिए कोई पहुंच नहीं है और उनके लिए प्रासंगिक नहीं है और जब तक उन्हें चयनित फ़ाइलों / निर्देशिकाओं तक लिखने की आवश्यकता नहीं होती है (उदाहरण के लिए अपलोड की गई छवियों को स्वीकार करने के लिए)।
  • ऑनलाइन बैकअप रखने के लिए एक अच्छा स्वचालित बैकअप रूटीन सेट करें (अधिमानतः किसी अन्य सर्वर या घर पर) ताकि आपकी सामग्री को कहीं और कॉपी किया जाए ताकि आप पुनर्प्राप्त कर सकें कि यह सर्वर के लिए सबसे खराब हो (पूर्ण अप्राप्य क्रैश, या हैक किया जा रहा है)
  • अपने सर्वर पर आपके द्वारा इंस्टॉल किए गए सभी टूल के बारे में जानें (प्रलेखन पढ़ें, शायद उन्हें एक परीक्षण वातावरण पर स्थापित करें, वर्चुअलबॉक्स के तहत एक स्थानीय वीएम का कहना है, विभिन्न कॉन्फ़िगरेशनों को आज़माने और उन्हें ठीक करने के लिए) ताकि आपके पास सक्षम होने का एक मौका हो समस्याओं को ठीक करने के लिए यदि वे होते हैं (या कम से कम ऐसे मुद्दों का सही तरीके से निदान करते हैं ताकि आप किसी और को समस्या को ठीक करने में मदद कर सकें)। आप भविष्य में किसी बिंदु पर इस पर बिताए गए समय के लिए खुद को धन्यवाद देंगे!

चल रहे कार्यों में शामिल हैं:

  • आपके आधार OS के लिए सुरक्षा अद्यतन सुनिश्चित करना समयबद्ध तरीके से लागू होता है। एन्टीट्रॉन जैसे उपकरणों का उपयोग आपको उन अद्यतनों से अवगत कराने के लिए किया जा सकता है जिन्हें लागू करने की आवश्यकता है। मैं उन सेटअपों से बचूंगा जो स्वचालित रूप से अपडेट लागू करते हैं - आप समीक्षा करना चाहते हैं कि आपके चलने से पहले क्या बदलना है (डेबियन / ubuntu के मामले में) aptitude safe-upgrade, इसलिए आप जानते हैं कि आपके सर्वर पर क्या किया जाना है।
  • सुनिश्चित करें कि आपके द्वारा मैन्युअल रूप से स्थापित की गई किसी भी लाइब्रेरी / ऐप / स्क्रिप्ट को अपडेट (यानी बिल्ट-इन पैकेज मैनेजमेंट का उपयोग करके आपके वितरण मानक रिपॉजिटरी से नहीं) भी समयबद्ध तरीके से स्थापित हैं। अपडेट के ऐलान के लिए इस तरह के लिबास / एप्स / स्क्रिप्ट्स की अपनी मेलिंग लिस्ट हो सकती है, या आपको बस खुद को सूचित रखने के लिए नियमित रूप से अपनी वेब साइट्स पर नजर रखनी पड़ सकती है।
  • उन सुरक्षा समस्याओं के बारे में जानकारी रखना जो पैच पैकेज के बजाय कॉन्फ़िगरेशन परिवर्तन द्वारा ठीक किए जाने की आवश्यकता है या जब तक कि पैच किए गए पैकेज + परीक्षण + जारी नहीं किया जाता है, तब तक इसके आसपास काम करने की आवश्यकता होती है। आपके वितरण को बनाए रखने वाले लोगों द्वारा चलाए जा रहे किसी भी सुरक्षा संबंधी मेलिंग सूचियों की सदस्यता लें, और प्रौद्योगिकी साइटों पर नज़र रखें जो ऐसे मुद्दों की रिपोर्ट भी कर सकते हैं।
  • अतिरिक्त व्यामोह के लिए ऑफ़लाइन बैकअप के कुछ रूप का प्रबंधन करना। यदि आप अपने सर्वर को घरेलू मशीन में बैकअप करते हैं, तो नियमित रूप से सीडी / डीवीडी / यूएसबी-स्टिक को एक कॉपी लिखें।
  • कभी-कभी अपने बैकअप का परीक्षण करें, ताकि आप जान सकें कि वे सही तरीके से काम कर रहे हैं। एक बिना बैकअप वाला बैकअप अच्छा बैकअप नहीं है। आप अपने सर्वर को मरना नहीं चाहते हैं और फिर पता करें कि आपका डेटा कुछ महीनों से ठीक से बैकअप नहीं लिया गया है।

सभी अच्छे लिनक्स डिस्ट्रोस एक उचित रूप से सुरक्षित राज्य के आउट-ऑफ-द-बॉक्स में स्थापित होते हैं (अपडेट के पहले सेट के बाद कम से कम जब आप सुरक्षा पैच में खींचते हैं जो कि स्थापित सीडी / छवि को दबाए जाने के बाद जारी किया गया है / जारी किया गया) नौकरी मुश्किल नहीं है, लेकिन जितना आप उम्मीद कर सकते हैं उससे अधिक समय लगेगा।


4

एक लिनक्स VPS के बारे में महान बात यह है कि वे बॉक्स से बाहर बहुत सुरक्षित हैं। मेरी पहली सिफारिश हालांकि यह आपके मेजबान से बात करने और देखने के लिए कि क्या वे आपके लिए सुरक्षा को सख्त या अनुकूलित करेंगे। एक नियंत्रण कक्ष (वेबमिन, सेपेल, आदि) के साथ अधिकांश वीपीएस "प्रबंधित" हैं और वे आपके लिए बहुत कुछ करेंगे। खासतौर पर अगर आप यह सुनिश्चित नहीं कर रहे हैं कि आप क्या कर रहे हैं तो यह सबसे अच्छा विकल्प है, मेरी राय में।

यदि आप अपने दम पर हैं, तो पहले APF (उन्नत नीति फ़ायरवॉल?) या CSF (कॉन्फ़िगर्स फ़ायरवॉल) जैसे फ़ायरवॉल को देखें। CSF में एक लॉगिन विफलता का पता लगाने का विकल्प है, और यदि आप लॉगिन करने का प्रयास करते हैं और एक बार कई बार विफल हो जाते हैं तो यह आपके आईपी पते पर प्रतिबंध लगा देता है। मुझे यकीन नहीं है कि ये "आवश्यक" हैं क्योंकि लिनक्स उन बंदरगाहों पर प्रतिक्रिया नहीं देता है जो वैसे भी यातायात के लिए नहीं सुन रहे हैं, लेकिन वे निश्चित रूप से कुछ मन की पेशकश करते हैं। और अगर आपके पास कई तरह के ट्रैफ़िक के लिए बहुत सारे पोर्ट खुले हैं, तो शायद हाँ आप फ़ायरवॉल चाहते हैं।

संभवतः अधिक महत्वपूर्ण, यह सुनिश्चित कर रहा है कि आपके द्वारा इंस्टॉल किए गए एप्लिकेशन अद्यतित हैं। सर्वर ओएस में कुछ शोषण के माध्यम से अधिक साइटें एक वर्डप्रेस शोषण (उदाहरण के लिए) के माध्यम से हैक हो जाती हैं। यदि आप कस्टम कोडिंग स्क्रिप्ट हैं, तो सुनिश्चित करें कि आप सुरक्षा पर भी नज़र रखते हैं, क्योंकि आप अनजाने में अपने संपर्क फ़ॉर्म जैसी मूर्खतापूर्ण चीज़ के माध्यम से एक खुला दरवाजा नहीं छोड़ना चाहते हैं।


3

किसी भी मशीन को सुरक्षित करना, VPS शामिल, एक सटीक नुस्खा नहीं है, लेकिन आप 2 प्रमुख VPS प्रदाताओं के ट्यूटोरियल से शुरू कर सकते हैं: Linode Library और Slicehost आलेख


2
  • अवांछित सेवाएं हटाएं ( netstat आपका मित्र है)

  • सेवा विज्ञापन अक्षम करें (अपने संस्करण संख्याओं को प्रकट करना Scriptkiddies के लिए बहुत अच्छा है )

  • कुछ अस्पष्ट (22 पर SSH सिर्फ लगातार स्कैन किया जाएगा) के लिए प्रशासनिक (सार्वजनिक नहीं) पोर्ट नंबर बदलें

  • अपने कोटा और सीमा से बाहर कार्य: cgroups , limits.conf , क्यूओएस , आदि - और सक्रिय रूप से उन्हें नजर रखने - एक वेब डेवलपर्स कोड या एक DDoS आपकी साइट के बंद पर हमला दस्तक देता है और अपने बॉक्स में आता है नहीं पहुंचा जा सकता इसे ठीक करने के बहुत देर हो चुकी हो सकता है अगर

  • कुछ डिस्ट्रोस में नेटवर्क आधारित ऐप के लिए SELinux / AppArmor / etc प्रोफाइल हैं, उनका उपयोग करें

पहले तीन वेबमिन (एक फैशन में) के माध्यम से किया जा सकता है। आप इसके लिए भले ही ServerFault के माध्यम से देखना चाहें ।


1

मैं देखता हूं कि आप वेबमिन का उल्लेख करते हैं तो एक लिनक्स बॉक्स होगा। कृपया उस सर्वर पर स्थापित किए गए विशेष लिनक्स डिस्ट्रो के प्रलेखन की जांच करें।

CentOS के लिए इसे http://wiki.centos.org/HowTos/OS_Protection देखें


1

बस कुछ बिंदु। - अपना SSH पोर्ट बदलें। - फ़ाइलों की निर्देशिका लिस्टिंग को अक्षम करें। - सर्वर हस्ताक्षर, टोकन निकालें। - कुछ फ़ायरवॉल स्थापित करें

और भी बहुत सी बातें हैं..मैंने अभी-अभी जो बातें बताईं ..

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.