保护Linux服务器

Question

通常，我会：

• 将SSH更改为协议2，不允许根登录，更改端口，只允许公钥。
• 安装fail2ban。
• 安装Bastille并通过它运行(设置防火墙等)
• 在cron上运行chkrootkit和rkhunter。

我还能做什么来帮助保护Debain服务器(VPS)？

Answer 1

有一些工具可以更新操作系统和应用程序修补程序以及配置测试。其中有些包括最佳做法。您可以定期运行它们，以获得您的安全态势的图片。经过大量研究，您甚至可以编写自己的规则，以确保系统维护您计划的配置。

美国国土安全部()是开发安全产品开放标准的巨大努力的前线。他们和他们的承包商Mitre开发了一种名为椭圆形的语言，即开放漏洞和评估语言。它使用各种扫描引擎必须支持的Windows、Linux和Cisco等“平台”的组合。然后，这些扫描引擎对特定测试进行“定义”，以针对主机或目标执行测试，并生成报告。

如果所有这些听起来都很普通的话，那就是。故意的。这允许Debian发布自己的网站上的“定义”一次。他们不在乎扫描或报告是什么工具。不需要GUI。一个免费的扫描仪和结果编写器，椭圆形口译员，可以从sourceforge.net下载。指示也可获得。。

既然您有了工具来验证您的应用程序是否尽可能安全，您就可以继续在网络层提供保护，以抵御特定的攻击。

Answer 2

在确保Debian的安全中运行。

安装所有补丁并进行修补。我安装无人值守-升级和启用与安全有关的更新。

我通常安装Shorewall作为防火墙，并以适当的示例配置作为起点。然后，我将访问互联网的权限限制在预期的流量上。

Answer 3

这些都是很好的建议，看起来你已经走上了正确的道路。但是，不要忽略在框上运行的应用程序/服务。除非您的用户具有默认密码或非常容易猜测的密码，否则大多数漏洞都不会通过SSH出现。它们将通过web应用程序、邮件服务器或其他正在运行并在盒子上公开可用的服务来实现。

保护基本操作系统只是第一步，保护应用程序对于长期安全更为重要。