Eingeschränkter Login + fast alle Ports geschlossen: sicher?

tag-icon tag-icon linux security firewall
Eingeschränkter Login + fast alle Ports geschlossen: sicher?

Kontext:

Ich habe vor zu verreisen. Ich möchte mit meinem persönlichen Server eine kleine Cloud erstellen. Ich wünschte, ich könnte einige meiner Dateien herunterladen und eventuell einige Dateien hochladen, die nicht ausgeführt werden, und das Ganze ist durch ein nicht triviales Passwort geschützt.

Ich bin der einzige menschliche Benutzer.

Netfilter: Alle Ports außer Port 443 geschlossen. Keine auszuführenden Skripte. Apache mit den geringstmöglichen Berechtigungen.

Ich habe alle Remote-Anmeldungen mit einem Skript deaktiviert, das automatisch ausgeführt wird, wenn ein Benutzer versucht, sich bei /etc/profile anzumelden (es wirft grundsätzlich jeden raus, der versucht, eine Verbindung herzustellen, da ich mich lediglich physisch mit der Box verbinden möchte).

Aber ich habe einfach meinen Port 443 mit Apache und einem profilierten Apparmor geöffnet, um sicherzugehen, dass Apache nichts Dummes tut. Keine Datenbank.

Debian Stable 64 Bit aktualisiert.

Frage :

Reicht das aus, um meine Box zu sichern? Habe ich etwas übersehen? Irgendwelche anderen Ratschläge?

Danke

Antwort1

Dies ist ein sehr weitreichendes Thema, aber das sind meine 2 Cents:

  • Verschlüsseln Sie Ihre Festplatten.
  • Beschränken Sie AppArmor nicht auf apache.
  • Vorausgesetzt, das Partitions-/LVM2-Layout ist organisiert, kann der Großteil des Systems schreibgeschützt gemountet werden.

  • Mounten Sie nodev,nosuid,noexecalles, was diese Berechtigungen nicht benötigt aptund aptitudemöglicherweise temporäre Ausführungsberechtigungen benötigt /tmp. Sie können dies zu Ihrem /etc/apt/apt.confoder in einem Snippet unter hinzufügen /etc/apt/apt.conf.d:

    DPkg::Pre-Invoke {"mount -o remount,exec /tmp";};
DPkg::Post-Invoke {"mount -o remount /tmp";};
  • Verwenden Sie ein Nicht-Root-Konto und erteilen Sie sudodiesem Konto nur die erforderlichen Berechtigungen.
  • Wenn dies im Internet veröffentlicht werden soll, verwenden Sie fail2banoder denyhosts.
  • Führen Sie regelmäßig Sicherheitsupdates durch.
  • Platzieren Sie Protokolle in einer separaten Partition/einem separaten logischen Volume.
  • Legen Sie Backups an und testen Sie diese.
  • Planen Sie einen möglichen Kompromiss.

verwandte Informationen