Forum Mjukvara Linux och övriga operativsystem Tråd Inlägg

Ubuntu Server och säkerheten

1
Skriv svar
Permalänk
Medlem

Ubuntu Server och säkerheten

Jag har funderat lite över hur svårt det egentligen är att sköta om en Ubuntu server.

Låt oss säga att jag låter någon som kan installera servern och välja automatiska säkerhetsuppdateringar.
Sedan stänga av sånt jag inte behöver som FTP, allt som har med mail att göra och så vidare och bara ha webbserver, ssh, mysql och annat nödvändigt för webbservern.

Vad är det i princip jag behöver göra sen för att sköta om säkerheten på servern? Borde den inte vara rätt säker sålänge jag bara kör säkra PHP-scripts?

Redigera
Citera flera Citera
Permalänk
Medlem

Se till att ha en korrekt policy gällande autoupdate men glömm inte ev auto-omstart om detta nu inte skall göras manuellt ofc.

Men om bara ovanstående är gjort så borde det inte vara några problem.

[
Jag förutsätter grundläggande saker som att
Utöver dina PHP skript så måste du patcha ev säkerhetsproblem med egeninstallerade php framework om du nu kör sådanna.

Rimlig komplexitet på passord krävs pga passords gissningar mot sshd är mycket vanligt.
(Och du borde köra med ssh-nyckel för normala inloggningar ändå)
]

Redigera
Citera flera Citera
Permalänk
Medlem

ubuntu server kommer inte med några tjänster som FTP igång per default. Det är viktigt att rättigheterna är rätt på filerna oxå. En annan viktig sak är att bara tillåta POST och GET. Det finns ju en massa andra oxå som DEL osv som kan köras ifall www-data äger filerna. Detta gör du såhär i apache:

     <LimitExcept POST GET>
         Deny from all
     </LimitExcept>

Det absolut viktigast är att ha säkra lösenord ifall du tillåter inloggning via SSH. Tillåt INTE root att logga in med sshd (ställ in i /etc/ssh/sshd_config ). Lösenorden borde vara minst 10 tecken med blandade tecken (stora,små,siffror,tecken osv). Sedan borde du oxå hindra bruteforce attacks på sshd förslagsvis såhär: Block brute force attacks with iptables

Redigera
Citera flera Citera
Permalänk
Medlem

Tack för ditt svar. Med PHP Framwork, menar du till exempel Zend optimizer eller menar du scriptsen?

Angående ssh, finns det inga gratis scripts/program man kan installera som till exempel bara låter personer med "telia" i sitt hostname komma åt servern via ssh? Det borde ju blockera väldigt många illvilliga från att kunna logga in på servern.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Spottkopp:

Tack för ditt svar. Med PHP Framwork, menar du till exempel Zend optimizer eller menar du scriptsen?

Angående ssh, finns det inga gratis scripts/program man kan installera som till exempel bara låter personer med "telia" i sitt hostname komma åt servern via ssh? Det borde ju blockera väldigt många illvilliga från att kunna logga in på servern.

Gå till inlägget

Byt port som SSH lyssnar på, fixa SSH port knocking. Tillåt INTE root att logga in via SSH.

Visa signatur

Datorer - M1 MacBook Pro 14"
Hörlurssystem - Scarlett 4i4 / Objective2 / Beyerdynamic DT 770
Ljudsystem - NAD C356BEE > DALI Mentor 6
Bilpark - Porsche 718 Spyder

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Jilted82:

Byt port som SSH lyssnar på, fixa SSH port knocking. Tillåt INTE root att logga in via SSH.

Gå till inlägget

Men servern kommer inte stå hemma hos mig, så då måste jag väl låta root komma in via SSH?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Spottkopp:

Men servern kommer inte stå hemma hos mig, så då måste jag väl låta root komma in via SSH?

Gå till inlägget

Nej alltså, inte låta root logga in direkt via SSH. Men när du väl är inloggad så får du su'a till root, eller sudo som det är i Ubuntu.

Visa signatur

Datorer - M1 MacBook Pro 14"
Hörlurssystem - Scarlett 4i4 / Objective2 / Beyerdynamic DT 770
Ljudsystem - NAD C356BEE > DALI Mentor 6
Bilpark - Porsche 718 Spyder

Redigera
Citera flera Citera
Permalänk
Medlem

Ahh okej, jag förstår. Bra tips!

Redigera
Citera flera Citera
Permalänk
Medlem

Failtoban är ganska fint program mot många olika sorters brute force- attacker
Fail2ban

sudo aptitude install fail2ban

Och sedan redigera jail.conf

sudo nano /etc/fail2ban/jail.conf
Redigera
Citera flera Citera
Permalänk
Medlem

Fail2ban ser riktigt intressant ut, tack! Någon som har något mer tips om hur jag enklast skyddar servern?

Redigera
Citera flera Citera
Permalänk
Medlem

hmm om nu inte sql behövs till mer än hemsidor hostade på samma server kan du ju fixa så att inte sql servern lyssnar efter "externa" anslutningar... sen ang ssh ere inte bättre att använda sk. "public/private key pairs" och stänga av lösenords login... alltid en början

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara