コンテクスト :
旅行の予定です。個人サーバーで小さなクラウドを作りたいと思っています。一部のファイルをダウンロードし、最終的には実行されない一部のファイルをアップロードし、全体を簡単なパスワードで保護できればと思っています。
私は唯一の人間のユーザーです。
Netfilter: ポート 443 以外のすべてのポートが閉じられています。実行するスクリプトはありません。Apache の権限は可能な限り低く設定されています。
ユーザーが /etc/profile にログインしようとするたびにスクリプトが自動的に実行されるようにして、すべてのリモート ログインを無効にしました (ボックスに物理的に接続できるようにしたいだけなので、基本的に接続しようとするすべてのユーザーを排除します)。
しかし、Apache が愚かなことをしないように、ポート 443 を Apache で開き、プロファイルされた AppArmor を使用しています。データベースはありません。
Debian 安定版 64 ビットが更新されました。
質問 :
私の箱を安全に保管するにはこれで十分でしょうか? 何か見落としているのでしょうか? 他にアドバイスはありますか?
ありがとう
答え1
これは非常に幅広いトピックですが、私の意見は次のとおりです。
- ディスクを暗号化します。
- AppArmor を に制限しないでください
apache。 - 整理されたパーティション/LVM2 レイアウトが提供されていれば、システムの大部分を読み取り専用でマウントできます。
nodev,nosuid,noexecこれらの権限を必要とせず、一時的な実行権限が必要になる可能性のあるものすべてをaptにaptitudeマウントするには、の下のスニペットに/tmpこれを または に追加できます。/etc/apt/apt.conf/etc/apt/apt.conf.dDPkg::Pre-Invoke {"mount -o remount,exec /tmp";}; DPkg::Post-Invoke {"mount -o remount /tmp";};- 非ルート アカウントを使用し、
sudoそのアカウントに必要な権限のみを付与します。 - これをインターネットに公開する場合は、
fail2banまたは を使用しますdenyhosts。 - 定期的にセキュリティアップデートを行ってください。
- ログを別のパーティション/論理ボリュームに配置します。
- バックアップを取ってテストしてください。
- 可能な妥協案を計画します。