Je viens de vous inscrire à un VPS Linux pour accueillir un site Web que j'ai créé et j'ai besoin de conseils sur la meilleure approche pour la sécuriser.
Je l'ai déjà hébergé A VM à la Chambre, mais je veux me débarrasser de cela. La sécurité a donc été traitée par le fait que je suis Nat'd et seulement certains Les ports ouverts/transmis à la machine.
Maintenant, je me trouve dans une situation où la machine est essentiellement complètement ouverte sur Internet. Je pense donc que je dois commencer à faire quelque chose avec des tables IP? C'est quelque chose de complètement nouveau pour moi.
Je pensais qu'il pourrait y avoir une solution plus élégante, impliquant de la connecter à mon VPN sur une interface distincte pour se connecter à travers cela, mais pas sûr d'où commencer avec cela.
J'ai besoin de:
Des questions:
Mon niveau Linux est relativement élevé, je peux écrire/déboguer des scripts Bash, modifier des configurations à partir de zéro, etc., et je comprends un peu juste sur l'architecture, mais je ne suis pas gourou.
Je suis un grand fan d'Apparmor sur Linux car la configuration est quelque chose qui peut être raisonnablement compris et il est très puissant pour les applications de boxe de sable. Par exemple, vous pouvez limiter les postgres et tout ce qui est déjà exécuté par celui-ci pour affecter uniquement le champ de stockage de la base de données. Il en va de même pour les serveurs Web et FTP - ils n'ont jamais besoin de lire toutes les données en dehors de leurs répertoires d'exploitation et n'ont jamais besoin d'ouvrir un autre port réseau. Obtenez une alerte email à toute violation de ces ensembles de règles.
Isoler vos services comme celui-ci vous donnera confiance à l'intégrité de la machine dans son ensemble, même si un service individuel est compromis.
Vous traiterez cette boîte comme n'importe quelle boîte physique qui a une adresse IP publique. Vous devez suivre les directives de durcissement de la Linux de base telles que:
Vous pouvez également configurer un VPN, tel que l'utilisation OpenVPN pour entrer dans la case. De cette façon, vous pouvez exécuter OpenVPN sur un port non standard, puis vous pouvez la configurer pour une authentification basée sur la clé et basée sur le mot de passe avant de vous le permet.
Vous trouverez ci-dessous 2 sites que je recommande vivement à regarder.