情境 :
我計劃去旅行。我想用我的個人伺服器製作一個小雲。我希望我可以刪除我的一些文件,並最終上傳一些不會被執行的文件,並且整個文件都受到一個重要的密碼的保護。
我是唯一的人類使用者。
Netfilter:除連接埠 443 之外的所有連接埠均已關閉。 Apache 具有盡可能最低的權限。
我已經禁用了所有遠端登錄,並在用戶嘗試登入 /etc/profile 時自動執行腳本(它基本上會踢出任何嘗試連接的人,因為我只想能夠物理連接到該盒子)。
但我只是用 apache 打開了我的連接埠 443 和一個配置好的 Apparmor,以確保 Apache 不會做任何愚蠢的事情。沒有資料庫。
Debian 穩定版 64 位元已更新。
問題 :
足以保護我的盒子嗎?我是不是忽略了什麼?還有其他建議嗎?
謝謝
答案1
這是一個非常廣泛的話題,但以下是我的 2 美分:
- 加密您的磁碟。
- 不要將 AppArmor 限制為
apache. - 提供了有組織的分割區/LVM2 佈局,大部分系統都可以只讀方式安裝。
安裝
nodev,nosuid,noexec不需要這些權限apt並且aptitude可能需要臨時執行權限的所有內容/tmp,您可以將其新增至您的/etc/apt/apt.conf或 下的程式碼片段/etc/apt/apt.conf.d:DPkg::Pre-Invoke {"mount -o remount,exec /tmp";}; DPkg::Post-Invoke {"mount -o remount /tmp";};- 使用非 root 帳戶,並僅
sudo向該帳戶授予所需的權限。 - 如果要將此內容暴露在網路上,請使用
fail2ban或denyhosts。 - 定期進行安全性更新。
- 將日誌放置在單獨的分區/邏輯磁碟區中。
- 有備份並測試它們。
- 制定可能的妥協方案。