Στο άρθρο που ακολουθεί, θα δούμε τα βασικά βήματα με τα οποία επιτυγχάνεται η ασφάλεια σε έναν Linux server. Αν και επικεντρώνεται ως επί το πλείστον στα Debian και Ubuntu, αξίζει να το δείτε γιατί μπορεί να εφαρμοστεί και σε άλλα Linux.
- Κάνετε update στον server σας.
Αρχικά, χρειάζεται να ενημερώσετε τα τοπικά αποθετήρια (repository), να αναβαθμίσετε το λειτουργικό σύστημα και τις εγκατεστημένες εφαρμογές, εφαρμόζοντας τις πιο πρόσφατες επιδιορθώσεις.
- Δημιουργήστε ένα νέο privileged account χρήστη.
Στη συνέχεια, δημιουργήστε ένα νέο λογαριασμό χρήστη. Δεν πρέπει ποτέ να συνδεθείτε στον servers σας ως root. Αντ ‘αυτού, δημιουργήστε τον δικό σας λογαριασμό (“<user>”), δώστε του δικαιώματα sudo και χρησιμοποιήστε το για να συνδεθείτε στον server σας.
- Κάνετε upload το SSH key.
Θα χρειαστεί να χρησιμοποιήσετε ένα κλειδί SSH για να συνδεθείτε στο νέο σας διακομιστή. Μπορείτε να ανεβάσετε το προ-παραγόμενο κλειδί SSH στον νέο σας server χρησιμοποιώντας την εντολή ssh-copy-id:
$ ssh-copy-id <username> @ ip_address
Με αυτόν τον τρόπο μπορείτε να συνδεθείτε στον νέο σας server, χωρίς να απαιτείται κωδικός πρόσβασης.
- Διαφυλάξτε το SSH.
- Απενεργοποιήστε το password authentication του SSH.
- Περιορίστε την απομακρυσμένη σύνδεση του root.
- Περιορίστε την πρόσβαση σε IPv4 ή IPv6.
- Ενεργοποιήστε ένα firewall.
Τώρα πρέπει να εγκαταστήσετε ένα τείχος προστασίας, να το ενεργοποιήσετε και να το διαμορφώσετε μόνο για να επιτρέψετε τo traffic δικτύου που ορίζετε. Το Uncomplicated Firewall (UFW) είναι ένα εύκολο στη χρήση interface στο iptables που απλοποιεί σε μεγάλο βαθμό τη διαδικασία διαμόρφωσης ενός τείχους προστασίας.
Μπορείτε να εγκαταστήσετε το UFW με:
$ sudo apt εγκατάσταση ufw
Από προεπιλογή, το UFW αρνείται όλες τις εισερχόμενες συνδέσεις και επιτρέπει όλες τις εξερχόμενες συνδέσεις. Αυτό σημαίνει ότι οποιαδήποτε εφαρμογή στον server σας μπορεί να φτάσει στο διαδίκτυο, αλλά οτιδήποτε προσπαθεί να φτάσει στον server σας δεν μπορεί να συνδεθεί.
- Εγκαταστήστε το Fail2ban.
Το Fail2ban είναι μια εφαρμογή που εξετάζει τα αρχεία καταγραφής των servers που ψάχνουν για επανειλημμένες ή αυτοματοποιημένες επιθέσεις. Αν βρεθεί κάποια επίθεση, θα μετατρέψει το τείχος προστασίας για να εμποδίσει τη διεύθυνση IP του εισβολέα, είτε μόνιμα είτε για συγκεκριμένο χρονικό διάστημα.
- Κατάργηση αχρησιμοποίητων υπηρεσιών προς το δίκτυο.
Σχεδόν όλα τα λειτουργικά συστήματα για servers Linux έρχονται με λίγες υπηρεσίες δικτύου που είναι ενεργοποιημένες. Συνήθως θέλετε να κρατήσετε τις περισσότερες. Ωστόσο, υπάρχουν μερικές που μπορεί να θέλετε να καταργήσετε.
Ο τρόπος με τον οποίο μπορείτε να καταργήσετε μια υπηρεσία που δεν χρησιμοποιείται (“<service_name>”) θα διαφέρει ανάλογα με το λειτουργικό σας σύστημα και τον διαχειριστή πακέτων που χρησιμοποιoύνται.
Για να καταργήσετε μια υπηρεσία που δεν χρησιμοποιείται στο Debian / Ubuntu:
$ sudo apt purge <service_name>
Για να καταργήσετε μια υπηρεσία που δεν χρησιμοποιείται στο Red Hat / CentOS:
$ sudo yum remove <service_name>
Τα παραπάνω είναι οι ελάχιστες ενέργειες που θα ενδυναμώσουν έναν server Linux. Επιπλέον ασφάλεια πρέπει να εφαρμοστεί ανάλογα τον τρόπο λειτουργίας κάθε server.
