문맥 :
나는 여행할 계획이다. 개인 서버로 작은 클라우드를 만들고 싶습니다. 내 파일 중 일부를 삭제하고 결국에는 실행되지 않고 전체가 사소하지 않은 비밀번호로 보호되는 일부 파일을 업로드할 수 있었으면 좋겠습니다.
나는 유일한 인간 사용자입니다.
Netfilter: 모든 포트가 닫혀 있지만 포트는 443입니다. 실행할 스크립트가 없습니다. 가능한 가장 낮은 권한을 가진 Apache.
사용자가 /etc/profile에 로그인하려고 할 때마다 자동으로 실행되는 스크립트를 사용하여 모든 원격 로그인을 비활성화했습니다. (기본적으로 상자에 물리적으로 연결할 수 있기를 원하기 때문에 연결을 시도하는 모든 사람을 쫓아냅니다.)
하지만 저는 Apache가 어리석은 짓을 하지 않도록 하기 위해 Apache와 프로파일링된 의류를 사용하여 포트 443을 열었습니다. 데이터베이스가 없습니다.
Debian 안정 64비트가 업데이트되었습니다.
질문 :
내 상자를 안전하게 보호하는 것으로 충분합니까? 내가 뭔가를 간과했나요? 다른 조언이 있나요?
감사해요
답변1
이것은 매우 광범위한 주제이지만 내 의견은 다음과 같습니다.
- 디스크를 암호화하세요.
- AppArmor를
apache. - 구성된 파티션/LVM2 레이아웃을 제공하면 대부분의 시스템을 읽기 전용으로 마운트할 수 있습니다.
nodev,nosuid,noexec해당 권한이 필요하지 않은 모든 항목을 마운트하고apt에aptitude대한 임시 실행 권한이 필요할 수 있습니다/tmp. 이를/etc/apt/apt.conf또는 아래의 스니펫에 추가할 수 있습니다/etc/apt/apt.conf.d.DPkg::Pre-Invoke {"mount -o remount,exec /tmp";}; DPkg::Post-Invoke {"mount -o remount /tmp";};- 루트가 아닌 계정을 사용하고
sudo해당 계정에 필요한 권한만 부여하십시오. - 이것이 인터넷에 노출될 예정이라면,
fail2ban또는 를 사용하세요denyhosts. - 정기적인 보안 업데이트를 수행하세요.
- 별도의 파티션/논리 볼륨에 로그를 배치합니다.
- 백업해두고 테스트해보세요.
- 가능한 타협을 계획하십시오.