Säkra en webserver

http://www.andrewault.net/2010/05/17/securing-an-ubuntu-serve...
http://www.thefanclub.co.za/how-to/how-secure-ubuntu-1204-lts...

Se till att du inte har onödiga portar öppna på server. Kör med så få servicar som möjligt (minierar chansen till en bugg som möjlig gör exploatering). Kör https sida så att det är svårare att avläsa trafiken till/från servern. Om du användare php sidor, se till att koden till räckligt ofta kollar efter rättigheter så att man inte kan injicera data som behandlas utan att kolla efter användarrättigheter. Lägg inte till din server i googles register, samt sätt in meta data för att meddela sökmotorer att inte lista dina sidor.
Du kan inte gömma ip-adressen mera än att du ser till att den inte svara på annat än html förfrågningar. Dvs du skall droppa ping paket t.ex. Du kan även flytta porten som du kommer åt din webserver till någon annan än 80 eller 443.
Många av dessa förslag är mest för att minska chansen att någon med små kunskaper inom hacking inte skall lika lätt komma åt. Det är så gott som omöjligt att hålla data tillgängligt på internet samtidigt som man vill vara 100% säker på att ingen annan kan komma åt det. Men ju flere lager av säkerhet du bygger upp, destor jobbigare blir det.

Du skall koppla in servern bakom din router, med portforwarding på port 80, samt eventuellt även port 443 (för https), till serverns interna ip-adress.
Vill du kunna ansluta med ssh utifrån, måste du även forwarda porten för ssh (default port 22).

Ubuntu kommer med UFW - Uncomplicated Firewall som standard.
Guide finns - Här

Ditt hemmanätverk, som också ligger bakom routern, är just av denna anledning inte synligt utifrån.

Jag kommer tyvärr att ge ett svar som du knappast tycker om, men läs på. Din server blir enbart så säker som du har kunskaper om att göra den. Utan kunskaper kan du inte göra den säker, det är tyvärr så. Var beredd på att lägga ner tid, och var inte rädd för att experimentera och försöka.

Ubuntu server kan du gott använda, jag vet inte om den har inbyggd brandvägg, använder inte ubuntu själv. Om du vill lägga den före eller efter nätverkets router är upp till dig. Bakom nuvarande router ger dig "ett lager till av skydd" om du kör med nat, eftersom enbart de portar du forwardar är de som sänder trafik vidare till din server.
Brandväggen är den som blockera portar, eller egentligen aggerar enligt lista på inkommande/utgående paket.

En viktigt fråga du måste fråga dig själv är också hur enormt viktigt det är att verkligen skydda det du har. Är det värt att lägga 100 tals timmar på att lära sig, eller räcker det med att se till att amatör hackers inte direkt får åtkomst. Har du verkligen något som hackare är intresserade av att komma åt och kommer att jobba för att nå?

PS: Se till att även uppdatera din servers program, speciellt säkerhets uppdateringar och främst för de programmen som är synliga till nätet, eftersom de gör största risken för intrång om en känd bugg finns i den version du använder.

vad du också kan göra är att sätta upp olika subnät, ett för din webserver och resten för ditt Lan. men vet inte hur det går att ordna med en vanlig hemmarouter utan opensource firmware.

//Tobias

Det skulle jag avråda från. Dels för att det blir besvärligare att sprida Internet till övriga datorer på nätverket, dels för att du exponerar serven mer. Sätt den bakom routern.

Helt rätt, därför bör man ha någon form av skydd.

Skulle inte säga att risken blir så där hemskt mycket större. Inte så att du ska behöva bryta ryggen av dig för att implementera något extra skydd.

Du skulle kunna använda QoS på routern. Tyvärr har jag aldrig fått det att fungera som jag vill men jag har å andra sidan inte försökt så mycket. Ett annat alternativ är att göra det direkt på servern med t ex Netlimiter.

Det du behöver göra är följande:
- Fundera på vad du vill uppnå och hur du vill att det ska se ut när du är klar
- Tänk till på en övergripande lösning och gör en skiss
- Kolla vad du har för prylar och vad du kanske behöver köpa till
- Leta efter lämpliga programvaror och testa dem. Se till att läsa noga om kända buggar eller säkerhetshål

Vem sa vad gav extra skydd? Hänger tyvärr inte alls med på vad du menar.

Fast han skriver ju bakom routern och du talar om framför den. Din skiss har också placerat servern framför routern, helt exponerad mot Internet.

Ja, och det är en bra början. Sen får du dirigera trafiken genom routern så att det som ska till webbservern hamnar där.

Snygg bild, i vad har du skapat den?

Visio 2010

Du vill alltså sätta upp en webbserver men har ingen aning om hur nätverk och servrar fungerar? Ledsen men jag tror du behöver läsa på lite om det. Vi kan inte berätta i detalj exakt alla handgrepp och inställningar du behöver göra. Vi kan ge dig en knuff i rätt riktning eller komma med förlag om du kör fast men själva grovjobbet måste du göra själv.

Men för att svara på din fråga kan du köra portforward i din router. Exakta inställningar beror på din modell, men du sätter port 80 att peka mot den IP-adress som din webbserver har.

Ok, då hoppas jag du är nöjd med svaren du fått.