我有一台舊伺服器,安裝了 Ubuntu 伺服器和 Apache2。我正在用它來運行一個小型的單頁網站。我正在使用“freenoms”作為連接到我的公共 IP 的免費網域“musicmash.tk”。路由器只是一個簡單的 ISP,它將伺服器的連接埠轉送到 HTTP(我認為是 80)。我不擔心是否有人可以擦除伺服器以獲取對網路其餘部分的存取權限(例如 Samba 共用)。我應該擔心安全問題嗎?我可以輕鬆地採取什麼措施來提高安全性嗎?
答案1
如果您只轉送了連接埠 80,則不必太擔心,但這取決於您的網頁伺服器。例如,如果你有帶有mysql 的websait,你應該始終使用強密碼並安裝mod_security,因為有很多sql 注入方法,如果它們成功,攻擊者將獲得對你的ubuntu 伺服器的存取權限(我假設它在本地網路上,所以這是一個潛在的風險)。也要安裝一些防火牆以防止暴力破解並監視伺服器上的活動(存取、系統檔案變更等)。我目前對 csf/lfd 很滿意,但這是在 centos 上,我不確定它在 ubuntu 上如何運作。
答案2
恕我直言,您至少應該高度注意以下幾點:
- 對軟體安全性更新要非常小心,以便在發現漏洞時對其進行修補,尤其是圍繞您可以運行的 Apache 和公共 Web 應用程式(部落格、wiki ...)
- 更喜歡使用非標準 TCP 端口,以減少機器人的攻擊目標
- 停用調變解調器上的 ping 應答
- 對伺服器上執行的智慧腳本(php、cgi、上傳表單等)非常小心,越少越好,限制越多越好
您也可以設定具有白名單規則集的防火牆,例如限制透過http 偵聽連接埠上的傳入tcp 請求發起的公共輸出流量,以及限製到http 目標連接埠的傳入公共流量,拒絕新的傳出tcp 連接。使用armor 或selinux 也是一個好主意。