So erstellen Sie einen sicheren Linux-Server mit einer Firewall

763
Nullpointer

Ich habe die ufwFirewall auf einem Linux-Server installiert und erlaube notwendige Ports mit ufw. Gibt es jedoch andere Regeln, um einen sicheren Server zu erstellen DOS, Syncoder andere (ich habe keine Ahnung) oder sind alle erforderlichen sicheren Regeln in ufw vordefiniert? ? Wie kann man Angriffe verhindern und muss eine Website den Rang meiner Serversicherheit überprüfen?

Bitte geben Sie mir den Vorschlag, einen sicheren Linux-Server zu erstellen.

1

1 Antwort auf die Frage

2
vera

Ich kenne die Grundkonfiguration von ufw nicht . Da Sie jedoch das Zulassen von Ports erwähnt haben, sind hier einige Gedanken:

  • Das Blockieren von Ports für eingehenden Datenverkehr bedeutet nicht, die Sicherheit zu erhöhen. Ich meine, wenn Sie einen Port blockieren, der nicht geöffnet ist (d. H. Kein Dienst überwacht diesen Port), dann ist dies in erster Linie Sicherheit durch Unbekanntheit.
  • Das Blockieren von Ports für ausgehenden Datenverkehr kann manchmal blockieren. Sie können keine Ports> 1024 blockieren, da Sie alle ausgehenden Verbindungen blockieren, die von Ihrem Server initiiert werden (ssh-Client, http-Client, dns-Anforderungen von Ihrem Server, ...).
  • Sie können dann den von Ihrem Server auf Ports <1024 initiierten Datenverkehr blockieren (z. B. TCP-Datenverkehr mit SYN-Flag, welche Quell-IP Ihr Server ist), um zu verhindern, dass ein Angreifer, der bereits Zugriff auf Ihren Server hat, von Ihrem Server aus kommuniziert. Dies wäre jedoch nicht sehr nützlich, da ausgehende Kommunikation (wie im vorherigen Punkt gesehen) über einen höheren Portbereich erfolgen kann.

Was Sie jedoch wirklich tun können, ist die Angriffsfläche zu reduzieren, indem Sie:

  • Beschränken Sie sich auf die Mindestdienste, die Ihr Server ausführt (auch wenn er nicht öffentlich ist). Fahren Sie beispielsweise Ihren http-Server herunter (nginx, apache, ..), wenn Sie ihn nicht verwenden.
  • Installation von nicht gepflegter Software vermeiden;
  • Aktualisieren Sie Software (und alle Komponenten, z. B. WordPress-Kern und Plugins).
  • sicheres ssh (siehe https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.fr.html )
    • Verwenden Sie SSH-Schlüssel anstelle von Passwörtern. Sie können auch 2FA einrichten
    • Whitelist-Benutzer, denen Zugriff auf Ihren Server gewährt wird
  • Sie können ein Port-Klopfen an Ihren Abhör-Ports einrichten (zB ssh).
  • Sie können andere Tools verwenden, um die Sicherheit zu verbessern (fail2ban, ...).

Es gibt viele andere Ratschläge, die die Community Ihnen geben kann. Vergessen Sie jedoch nicht, dass Sicherheit keine einmalige Aktion ist. Sicherheit ist eine permanente Aktion (Aktualisierungen, Protokollüberwachung, ...).