English English French French Spanish Spanish German German
Geekflare wird von unserem Publikum unterstützt. Wir können Affiliate-Provisionen durch den Kauf von Links auf dieser Website verdienen.
Teilen:

Wie kann ich eine Cloud-VM (Ubuntu & CentOS) sichern und härten?

Cloud VM Sicherheit 1
Invicti Web Application Security Scanner – die einzige Lösung, die eine automatische Verifizierung von Schwachstellen mit Proof-Based Scanning™ bietet.

Das Sichern des Betriebssystems ist genauso wichtig wie Ihre Website, Webanwendungen und das Online-Geschäft.

Sie können für Sicherheits-Plugin ausgeben, WAFCloud-basierte Sicherheit zum Schutz Ihrer Site (Layer 7), ohne dass das Betriebssystem ungehärtet bleibt gefährlich.

Der Trend ist Ändern.

Hosting-Statistiken

Das Web wechselt vom Shared Hosting zur Cloud, um mehrere Vorteile zu erzielen.

  • Schnellere Antwortzeit, da Ressourcen von keinem anderen Benutzer gemeinsam genutzt werden
  • Volle Kontrolle über einen Tech-Stack
  • Volle Kontrolle über das Betriebssystem
  • Kostengünstig

"Mit großer Macht kommt große Verantwortung"

Sie erhalten höhere Kontrolle Beim Hosten Ihrer Website auf einer Cloud-VM sind jedoch einige Systemadministratorkenntnisse erforderlich, um Ihre VM zu verwalten.

Sind Sie bereit dafür?

Hinweis: Wenn Sie nicht bereit sind, Ihre Zeit in sie zu investieren, können Sie wählen Cloudways die AWS, Google Cloud, Digital Ocean verwalten, Linode, Vultr & Kyup VM.

Kommen wir zu einem praktischer Leitfaden um Ubuntu und CentOS VM zu sichern.

Changing SSH Default Port

Standardmäßig hört der SSH-Dämon zu Portnummer 22. Das heißt, wenn jemand findet Ihre IP kann versuchen, eine Verbindung zu Ihrem Server herzustellen.

Sie können möglicherweise nicht auf den Server zugreifen, wenn Sie mit einem komplexen Kennwort gesichert haben. Sie können jedoch Brute-Force-Angriffe starten, um den Serverbetrieb zu stören.

Das Beste ist, den SSH-Port auf etwas anderes zu ändern, auch wenn jemand die IP kennt kann nicht versuchen, eine Verbindung herzustellen Verwenden des Standard-SSH-Ports.

Das Ändern des SSH-Ports in Ubuntu / CentOS ist sehr einfach.

  • Melden Sie sich mit dem Root-Privileg bei Ihrer VM an
  • Erstellen Sie eine Sicherungskopie von sshd_config (/ etc / ssh / sshd_config).
  • Öffnen Sie die Datei mit dem VI-Editor
vi /etc/ssh/sshd_config

Suchen Sie nach Linie, die hat Port 22 (normalerweise am Anfang der Datei)

# What ports, IPs and protocols we listen for 
Port 22
  • Ändern Sie 22 in eine andere Nummer (stellen Sie sicher, dass merken wie Sie das brauchen, um eine Verbindung herzustellen). Sagen wir 5000
Port 5000
  • Speichern Sie die Datei und starten Sie den SSH-Daemon neu
service sshd restart

Jetzt können Sie oder jemand über den SSH-Standardport keine Verbindung zu Ihrem Server herstellen. Stattdessen können Sie den neuen Port zum Herstellen einer Verbindung verwenden.

Wenn Sie einen SSH-Client oder ein Terminal auf einem MAC verwenden, können Sie diesen verwenden -p um den benutzerdefinierten Port zu definieren.

ssh -p 5000 username@128.199.100.xxx

Leichtist es nicht?

Protecting from Brute Force Attacks

Einer der gemeinsamen Mechanismen von a Hacker Um die Kontrolle über Ihr Online-Geschäft zu übernehmen, müssen Sie Brute-Force-Angriffe auf den Server und die Webplattform einleiten WordPress, Joomla, usw.

Das kann sein gefährlich wenn nicht ernst genommen. Es gibt XNUMX Beliebte Programme, mit denen Sie Linux vor Brute Force schützen können.

SSH-Wache

SSH-Wache überwacht die laufenden Dienste anhand der Systemprotokolldateien und blockiert wiederholte fehlerhafte Anmeldeversuche.

Ursprünglich war es dafür gedacht SSH-Anmeldeschutz, aber jetzt unterstützt es viele andere.

  • Reines FTP, PRO FTP, VS FTP, FreeBSD FTP
  • Exim
  • Sendmail
  • Dovecot
  • Kürbis
  • UWimap

Sie können SSHGuard mit den folgenden Befehlen installieren.

Ubuntu:

apt-get install SSHGuard

CentOS:

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpm 
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

Fail2Ban

Fail2Ban ist ein weiteres beliebtes Programm zum Schutz von SSH. Fail2Ban aktualisiert die iptables-Regel automatisch, wenn ein fehlgeschlagener Anmeldeversuch den definierten Schwellenwert erreicht.

So installieren Sie Fail2Ban in Ubuntu:

apt-get install fail2ban

und in CentOS zu installieren:

yum install epel-release 
yum install fail2ban

SSH Guard und Fail2Ban sollten ausreichen, um die SSH-Anmeldung zu schützen. Wenn Sie jedoch mehr erforschen müssen, können Sie sich auf Folgendes beziehen.

Disable Password-based Authentication

Wenn Sie sich von einem oder zwei Computern aus bei Ihrem Server anmelden, können Sie verwenden SSH-Schlüssel basierte Authentifizierung.

Wenn Sie jedoch mehrere Benutzer haben und sich häufig von mehreren öffentlichen Computern aus anmelden, kann es schwierig sein, den Schlüssel jedes Mal auszutauschen.

Je nach Situation können Sie die kennwortbasierte Authentifizierung wie folgt deaktivieren.

Hinweis: Dies setzt voraus, dass Sie den SSH-Schlüsselaustausch bereits eingerichtet haben.

  • Ändern /etc/ssh/sshd_config Verwendung von vi Herausgeber
  • Fügen Sie die folgende Zeile hinzu oder kommentieren Sie sie aus, falls vorhanden
PasswordAuthentication No.
  • Laden Sie den SSH-Daemon neu

Protecting from DDoS Attacks

DDoS (Distributed Denial of Service) kann bei auftreten jede Schicht, und dies ist das Letzte, was Sie als Geschäftsinhaber wollen.

Das Auffinden der Ursprungs-IP ist möglich, und als bewährte Methode sollten Sie dies nicht tun Offenlegung Ihrer Server-IP zum öffentlichen Internet. Es gibt mehrere Möglichkeiten, das “Ursprungs-IP”, Um das DDoS auf Ihrem Cloud- / VPS-Server zu verhindern.

Verwenden Sie einen Load Balancer (LB) - Implementieren Sie einen mit dem Internet verbundenen Load Balancer, damit die Server-IP nicht dem Internet ausgesetzt ist. Es gibt viele Load Balancer, aus denen Sie auswählen können - Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB usw.

Load-Balancer-Szenario

Verwenden Sie ein CDN (Content Delivery Network). - CDN ist eine der großartigen Möglichkeiten, die Leistung und Sicherheit von Websites zu verbessern.

Wenn Sie CDN implementieren, konfigurieren Sie den DNS A-Eintrag mit der vom CDN-Anbieter angegebenen Anycast-IP-Adresse. Auf diese Weise bewerben Sie die CDN-Anbieter-IP für Ihre Domain und Herkunft ist nicht ausgesetzt.

Es gibt viele CDN-Anbieter, die die Leistung der Website, den DDoS-Schutz, WAF und viele andere Funktionen beschleunigen.

Wählen Sie also den CDN-Anbieter aus, der sowohl Leistung als auch Sicherheit bietet.

Passen Sie die Kernel-Einstellungen und iptables an - Sie können iptables nutzen, um verdächtige Anfragen, Nicht-SYN, falsches TCP-Flag, privates Subnetz und mehr zu blockieren.

Neben iptables können Sie auch die Kerneleinstellungen konfigurieren. Javapipe hat es mit den Anweisungen gut erklärt, damit ich es hier nicht dupliziere.

Verwenden Sie eine Firewall - Wenn Sie sich eine hardwarebasierte Firewall leisten, ist dies hervorragend, andernfalls möchten Sie möglicherweise eine verwenden softwarebasierte Firewall Dadurch werden iptables genutzt, um die eingehende Netzwerkverbindung zur VM zu schützen.

Es gibt viele, aber eine der beliebtesten ist UFW (Unkomplizierte Firewall) für Ubuntu und FirewallD aufgrund CentOS.

Regular Backup

Backup ist dein Freund! Wenn nichts funktioniert, wird das Backup retten Sie.

Dinge können gehen Wrongs, aber was ist, wenn Sie nicht über das erforderliche Backup zum Wiederherstellen verfügen? Die meisten Cloud- oder VPS-Anbieter bieten Backups gegen einen geringen Aufpreis an, und man sollte dies immer berücksichtigen.

Erkundigen Sie sich bei Ihrem VPS-Anbieter, wie Sie den Sicherungsdienst aktivieren können. Ich weiß, dass Linode und DO 20% der Tröpfchenpreise für das Backup berechnen.

Wenn Sie mit Google Compute Engine oder AWS arbeiten, planen Sie einen täglichen Snapshot.

Mit einem Backup können Sie schnell Stellen Sie die gesamte VM wieder herSie sind also wieder im Geschäft. Oder mit Hilfe eines Schnappschusses können Sie Klonen Sie die VM.

Regular Update

Die Aktualisierung Ihres VM-Betriebssystems ist eine der wesentlichen Aufgaben, um sicherzustellen, dass Ihr Server keiner ausgesetzt ist neueste Sicherheitslücken.

In Ubuntu, Sie können apt-get update um sicherzustellen, dass die neuesten Pakete installiert sind.

In CentOS können Sie verwenden yum update

Don’t leave opened ports

Mit anderen Worten, lassen Sie nur die benötigten Ports zu.

Halten Sie unerwünschte offene Ports wie eine einladender Angreifer Vorteil ausnutzen. Wenn Sie Ihre Website nur auf Ihrer VM hosten, benötigen Sie höchstwahrscheinlich entweder Port 80 (HTTP) oder 443 (HTTPS).

Wenn Sie eingeschaltet sind AWSAnschließend können Sie die Sicherheitsgruppe erstellen, um nur die erforderlichen Ports zuzulassen und sie der VM zuzuordnen.

Wenn Sie sich in Google Cloud befinden, lassen Sie die erforderlichen Ports mit "Firewall-Regeln"

Firewall-Regeln-Google-Cloud

Wenn Sie VPS verwenden, wenden Sie den grundlegenden iptables-Regelsatz an, wie in erläutert Linode-Führung.

Das Obige soll Ihnen beim Härten und Sichern Ihres Servers helfen Besserer Schutz vor Online-Bedrohungen.

AlternativWenn Sie nicht bereit sind, Ihre VM zu verwalten, bevorzugen Sie möglicherweise Cloudways die mehrere Cloud-Plattformen verwalten. Und wenn Sie speziell nach Premium-WordPress-Hosting suchen, dann dieses hier.

Danke an unsere Sponsoren
Weitere großartige Lektüre zum Thema Sicherheit
Macht Ihr Geschäft
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti verwendet das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu verifizieren und innerhalb weniger Stunden umsetzbare Ergebnisse zu generieren.
    Versuchen Sie es mit Invicti
  • Web-Scraping, Wohn-Proxy, Proxy-Manager, Web-Unlocker, Suchmaschinen-Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie es mit Brightdata
  • Semrush ist eine All-in-One-Lösung für digitales Marketing mit mehr als 50 Tools in den Bereichen SEO, Social Media und Content-Marketing.
    Versuchen Sie es mit Semrush
  • Intruder ist ein Online-Schwachstellenscanner, der Cyber-Sicherheitslücken in Ihrer Infrastruktur findet, um kostspielige Datenschutzverletzungen zu vermeiden.
    MIT DER INTELLIGENTEN SCHADENKALKULATION VON Intruder