为客户提供VPS.安全实践

Question

假设您为客户部署了基于Debian的Xen VM。您将如何将它以最安全的状态移交给他们，同时将系统保持在客户期望的状态？

我不喜欢在没有任何IP限制的情况下通过SSH访问根帐户的想法--但这似乎是最实用的。我个人支持，在我们的自动部署过程中，生成SSH密钥，创建一个非根用户，禁用根登录，并且只允许非根用户使用他们的密钥登录，然后告诉客户他们可以改变他们认为合适的方式。

把钥匙给顾客怎么样？电子邮件？

Answer 1

如果您想在不提供root的情况下提供根访问，那么您可以使用sudo，这样就可以记录所有活动，并且还应该为客户机无法访问的日志设置一个单独的syslog服务器。

您可以使用键，但是您仍然允许任何源连接，使用硬件防火墙或iptables/ipchains，您可以锁定源。

再说一次，我不会只是让端口向互联网开放，将默认的22更改为高端端口，并有一个内联应用程序防火墙或IPS单元。

有一些免费的开放源码IPS软件，但是我只具有类似IBM ISS方案的商业经验。

斯图尔特

Answer 2

在保持系统处于状态的同时，客户期望

我认为这是问题的核心。对于许多选择来说，在易于使用和严密的安全性之间有一个连续统一体，理想情况下，您不会发现(通过客户抱怨)您的客户期望划定界限的困难方式。

我建议你学习你的竞争对手学到的东西。去注册一群来自不同(受尊敬的)供应商的VPS，看看他们是如何做到的。然后模仿同样的事情(除非每个人都做错了)。这样的话，从你的竞争对手转过来的客户将有熟悉的安装经验。