Обеспечение веб-сервера Linux для открытого доступа

Важно применить лучшие методы безопасности по мере возможности, но Вы не хотите делать вещи незаконно трудными для себя или терять сон, вызывающий беспокойство о не отставании от последнего использования. По моему опыту, существует две ключевых вещи, которые могут помочь сохранить Ваш персональный сервер достаточно безопасным для подбрасывания в Интернете при сохранении исправности:

1) безопасность через мрак

, Само собой разумеется, полагаясь на это в 'реальном мире' является плохой идеей а не быть развлеченной. Но поэтому в реальном мире, злодеи знают то, что там и что существует ограбление, которое будет иметься.

На персональном сервере, большинство 'нападений', которые Вы перенесете, будет просто автоматизировано развертки от машин, которые уже были поставлены под угрозу, ища стандартные установки продуктов, которые, как известно, были уязвимы. Если Ваш сервер не предложит ничего соблазняющего на портах по умолчанию или в местоположениях по умолчанию, то автоматизированный взломщик будет идти дальше. Поэтому, если Вы собираетесь выполнить ssh сервер, поместить его на нестандартный порт (> 1024), и вероятно, что это никогда не будет находиться. Если можно сойти с рук эта техника для веб-сервера, тогда большого, сдвиг это к неясному порту также.

2) управление Пакетом

не компилирует и устанавливает Apache или sshd из источника самостоятельно, если Вы абсолютно не имеете к. Если Вы делаете, Вы берете ответственность того, чтобы быть в курсе последних патчей безопасности. Позвольте хорошим специалистам по обслуживанию пакета от дистрибутивов Linux, таких как Debian, или Ubuntu делают работу для Вас. Установка от предварительно скомпилированных пакетов дистрибутива и пребывание текущего становятся вопросом издания случайного склонный - получают обновление & & склонный - получают dist-обновление-u команда, или использующий любой необычный инструмент GUI, который обеспечивает Ubuntu.

Одна вещь, которую, несомненно, необходимо будет рассмотреть, - то, какие порты открыты для мира. Я лично просто открытый порт 22 для SSH и порта 123 для ntpd. Но если Вы, открытый порт 80 (http) или ftp удостоверяется, что Вы учитесь знать, по крайней мере, чему Вы служите миру и кто может сделать что с этим. Я не знаю много о ftp, но существуют миллионы больших учебных руководств по Apache просто поиск Google далеко.

Разрядная технология. Сеть работала на нескольких статьях, как установить домашний сервер с помощью Linux. Вот ссылки:

Надежда Статьи 2

Статьи 1
они имеют некоторую справку.

@svrist упомянул EC2. EC2 обеспечивает API для открытия и закрытия портов удаленно. Таким образом, можно поддерживать поле в рабочем состоянии. Если необходимо дать демонстрацию из кафе или офиса клиента, можно захватить IP и добавить его к ACL.

Его безопасное и надежное при подавлении речи об этом (т.е. редко будет кто-то приезжать после домашнего сервера, если Вы просто разместите прославленный webroot на домашнем соединении) и Ваше остроумие о Вашей конфигурации (т.е. избегают использования, поддерживают все, удостоверьтесь, что Вы совершенствуете свое программное обеспечение).

На той ноте, хотя этот поток потенциально убудет только к пылающему, мое предложение для Вашего персонального сервера состоит в том, чтобы придерживаться чего-либо Ubuntu (, получают Сервер Ubuntu здесь ); по моему опыту, самое быстрое для получения ответов, задавая вопросы на форумах (не уверенный, что сказать о внедрении хотя).

Моя домашняя безопасность сервера вид BTW преимуществ (я думаю, или мне нравится думать) от не наличия статического IP (работает на DynDNS).

Удачи!

/ член парламента

Будьте осторожны относительно открытия порта SSH к дикой местности. Если Вы делаете, удостоверьтесь, что отключили корневые логины (Вы можете всегда su или sudo, как только Вы входите), и рассмотрите более агрессивные методы аутентификации в причине. Я видел огромную атаку с подбором по словарю в своих журналах сервера однажды в выходные, следуя за моим сервером SSH от DynDNS домашний сервер IP.

Однако действительно потрясающе быть в состоянии добраться до Вашей домашней оболочки от работы или далеко... и прибавление по тому, что можно использовать SFTP по тому же порту, я не мог вообразить жизнь без него. =)

Вы могли рассмотреть экземпляр EC2 от Amazon. Тем путем можно легко проверить "материал", не смешивая с производством. И только плата за пространство, время и пропускная способность Вы используете.

Если Вы действительно выполняете сервер Linux из дома, устанавливаете ossec на нем для хорошего легкого IDS, который работает действительно хорошо.

[РЕДАКТИРОВАНИЕ]

Как примечание стороны, удостоверьтесь, что Вы не сталкиваетесь с политикой допустимого использования своего ISP и , что они позволяют входящие соединения на стандартных портах. ISP, на который я раньше работал, имел записанный в их терминах, что Вы могли быть разъединены для рабочих серверов по порту 80/25, если Вы не были на учетной записи бизнес-класса. В то время как мы активно не заблокировали те порты (мы не заботились, если это не вызывало проблему), некоторые ISPs не позволяют трафика по порту 80 или 25, таким образом, необходимо будет использовать альтернативные порты.

Если Вы собираетесь сделать это, потратить немного денег и самое меньшее купить выделенный маршрутизатор / брандмауэр с отдельным портом DMZ. Вы захотите к брандмауэру от Вашей внутренней сети с Вашего сервера так, чтобы когда (не, если!) Ваш веб-сервер поставлен под угрозу, Ваша внутренняя сеть не сразу уязвима также.

Существует много способов сделать это, которое будет работать просто великолепно. Я обычно был бы jsut использовать .htaccess файл. Быстрый, чтобы настроить и защитить достаточно . Вероятно, не наилучший вариант, но это работает на меня. Я не поместил бы свои номера кредитных карт позади него, но кроме этого я действительно не забочусь.

Ничего себе, Вы открываете кучу проблем, как только Вы начинаете открывать что-либо до внешнего трафика. Следует иметь в виду, что, что Вы рассматриваете, экспериментальный сервер, почти как жертвенный ягненок, является также легким выбором для людей, надеющихся делать плохие вещи с Вашей сетью и ресурсами.

Ваш целый подход к внешне доступному серверу должен быть очень консервативным и полным. Это запускается с простых вещей как политики брандмауэра, включает базовую ОС (сохраняющий исправленный, настраивая его для безопасности, и т.д.) и включает каждый слой каждого стека, который Вы будете использовать. Нет простого ответа или рецепта, я боюсь.

, Если Вы хотите экспериментировать, Вы сделаете намного лучше, чтобы сохранить сервер частным и использовать VPN, если необходимо работать над ним удаленно.