关于保持云服务器安全的建议？(linux)

Question

我可以使用一个基本的linux发行版(稳定的Ubuntu )，并安装我需要的一切来启动和运行我的web应用程序。(Django，Rails，PHP等)但在这之后，我希望能得到一些关于安全的建议。

下面是我当前的检查清单: 1.更改分配给我的根密码2.添加管理员用户，这样我就不必以root 3登录。将ssh端口更改为我所编的随机的东西，并要求SSH键4。设置IPTables来阻止几乎所有东西(80，ssh端口，可能还有几个其他的(取决于))。

(关于要求)

现在怎么办？如何使服务器保持最新状态？我真的不想去读每天都要发布的安全邮件列表，我只想建立网络应用程序。

Answer 1

确保您将IPTables配置为还约束ssh和其他不应该对本地子网或特定工作站公开的内容。如果您正在与多个服务器一起工作，以便在发生妥协时限制损坏，您也可能希望限制传出通信量。apt-get update用于做基本的更新，从源代码安装，你需要自己做。对于从源安装，自述文件通常会告诉您需要知道什么，并且通常有迁移矩阵或升级指南。如果有的话，这个过程几乎总是简单地从源代码(./configure [options]、make、make install)重新安装。

您也可以使用iptable来限制速率，以减轻野蛮的强迫和基本的DOS (拒绝服务)。您可能希望确保您正在丢弃(Ing)数据包，而不是在您的iptable中拒绝它们。拒绝将一个响应发送回他们were....well拒绝的发送方。就像它从来没有收到包裹一样。

http://www.cyberciti.biz/faq/how-do-i-update-ubuntu-linux-softwares/

在这里可以找到一个限制速率的例子：

来自Iptables的阻塞连接持续多长时间？有办法设置超时吗？

我强烈建议您阅读网站上的其他一些文章，above.Vivek Gite在理解基本要点方面相当巧妙，他还介绍了很多关于安全性的内容。

添加一个管理员用户，这样您就根本不必登录了，因为root用户的安全增益很小--只要您接受允许您自己的错误更大的风险，即无意中删除/boot，就可以作为root进行操作。更重要的是通过SSH关闭根登录(in /etc/ssh/sshd_config)，因此您只能通过su获取根，或者只允许物理访问\某些用户切换到root。

我确实想强调的是，admin用户仍然是通向根的垫脚石(即ssh作为admin，然后切换到root)，只是在安全性方面，使管理员用户不需要登录到root有点徒劳无功。

您还可以查看应用程序防火墙。应用程序防火墙可以抵御各种高级攻击，而不是像IPTables这样的处理数据包的高级攻击。如果您使用Apache作为您的web服务器，那么Mod_Security2 (由Ivan编写)是一个很好的选择。

如果您想要更多的安全陷阱\防御您可以查看入侵检测系统，一个流行的是Snort。

确保你有抗病毒能力。一个很好的免费的是Clam AV。

如果上面的内容超出了您认为您的环境所需的最小值：

1. 安装防病毒
2. 关闭SSH以关闭根。
3. 限制开放端口上的SSH和其他服务，使其仅接受iptables中子网的连接。

在此之后，您需要了解一些模糊的细节，比如确保文件和文件夹权限不太宽松，编写不好的程序没有以root的形式运行，等等。