服务器安全性

Question

我想使用debian、apache2、php5、mysql、后缀MTA、sftp (基于ssh)和dns服务器运行自己的根服务器(无需硬件防火墙即可从web直接访问)。

您会推荐哪些措施/软件，以及为什么要保护这台服务器并将攻击矢量最小化？除了网络应用..。

到目前为止，这就是我所拥有的：

• iptables (代表gen )包过滤)
• fail2ban (蛮力攻击防御)
• ssh (，端口禁用根访问)
• 调制解调器安全-真的笨拙和痛苦(在这里有其他选择吗？)
• ？数独为什么要用它？对正常的用户处理有什么好处？
• 关于mysql www.greensql.net的greensql的思考
• 绊线值得一看吗？
• 吸鼻涕？

我遗漏了什么？什么是热，什么不是？最佳做法？

我喜欢“吻”->，让它保持简单的安全，我知道这会很好！

提前谢谢..。

Answer 1

对于ssh，您可以同时使用密码和密钥，但对于root，最好只允许使用基于密钥的auth登录(我喜欢ssh root@host)。

Answer 2

做一次端口扫描，只在需要时才打开。如果您有IPv6，请也不要忘记检查。使用http://www.ipv6scanner.com/，您可以同时检查IPv4和IPv6端口。

Answer 3

默认情况下: SSH键只允许根登录。IPTables -默认情况下拒绝所有。只有80/443向公众开放。fail2ban -禁用。繁忙的web服务器上的开销太多了。护卫-屁股疼。别用。

我还有一个VPN设置w/IPSec，允许我在不在办公室时访问服务器。我使用的任何/所有具有SSH密钥的计算机都是加密的。您可以窃取我的计算机而不获取访问任何服务器或VPN所需的任何信息。我是唯一一个有根键的人。其他人可能对特定的命令有sudo访问权。任何拥有SSH密钥的人都需要加密他们的OS/数据。