私は様々なウェブ技術をホストするために安いLinuxボックスをWebサーバとして設定したいと考えています(PHP & Java EEが気になりますが、Ruby将来的にはPythonも同様です)。パブリックアクセスのためのLinuxウェブサーバの保護
LinuxでJava EEアプリケーションを提供するためにTomcatを設定するのにかなり精通していますが、私はこのサーバーを開くことができます。私はオフィスで働いています。 Java EEサイトを構成する上で私が経験した経験はすべて、イントラネットアプリケーション用であり、外部ユーザー用のページの確保に集中しないように指示されていました。
個人用のLinux Webサーバーを、外部トラフィック用に安全な方法で開くためのアドバイスは何ですか?
この記事では、物事をロックダウンするために最善の方法のいくつかを持っている:
http://www.petefreitag.com/item/505.cfm
いくつかのハイライトすべてに書き込み権限を持ち、ルートのみが特定の設定ファイルに対して読み取り権限を持っています
記事では、この本からいくつかのポインタを取ります。
Apache Securiy(オライリープレス)は
限りディストリビューションとして、私はDebainとUbuntuを実行しましたが、それがどれだけに依存しますあなたがやりたいと思っています。私は何も必要ないときはいつでも、Xを使わずにDebianを走らせてssh'dしました。これは、オーバーヘッドを抑える簡単な方法です。あるいは、Ubuntuには、Apache/MySQL/PHPを簡単に制御できるGUIがいくつかあります。
これを行う方法はたくさんありますが、うまくいくでしょう。私は通常、.htaccessファイルを使用します。迅速にセットアップし、十分なセキュリティで保護されています。おそらく最良の選択肢ではないが、それは私のために働く。私はそれの後ろに私のクレジットカード番号を入れないだろうが、私は本当に気にしない以外。
あなたの声を控えておくと、安全で安全です(つまり、自宅のサーバーで栄光のWebrootをホストしている場合は、ホームサーバーの後ろに来ることはほとんどありません)。すべてをrootにするのは避け、ソフトウェアを最新の状態に保つようにしてください)。
このスレッドでは、おそらく炎に変わってしまいますが、私の個人的なサーバーの提案は、何かに固執することです(get Ubuntu Server here)。私の経験では、フォーラムで質問をしたときに回答を得るのが一番早いです(しかし、取り込みに関しては何を言いたいのか分かりません)。
私のホームサーバーのセキュリティBTWは静的なIP(DynDNSで動作)を持たないことから、ちょっとしたメリット(私は思っていますが、私は思っています)。
幸運を祈る!
/MP
うわー、あなたはすぐにあなたが外部トラフィックには、何も開く始めるとワームの缶を開放しています。犠牲の子羊のような実験的なサーバーは、ネットワークやリソースを使って悪いことをしている人にとっては簡単に選択できることに注意してください。
外部から利用可能なサーバーへのアプローチは、非常に慎重で徹底する必要があります。これは、ファイアウォールポリシーなどの簡単なものから始まり、根本的なOS(パッチ適用やセキュリティ設定など)を含み、使用するすべてのスタックのすべてのレイヤーを含みます。簡単な答えやレシピはありません、私は恐れています。
実験したい場合は、サーバーを非公開にして、リモートで作業する必要がある場合はVPNを使用する方がはるかに優れています。
SSHポートをワイルドに開くように注意してください。そうした場合は、必ずルートログインを無効にしてください(アクセスした後は常にsuまたはsudoになります)、理由の中でより積極的な認証方法を検討してください。 DynDNSのホームIPサーバからSSHサーバの後に来る週末に、サーバログの巨大な辞書攻撃が記録されていました。
言われているように、仕事や外出からあなたの家のシェルに行くことができて本当に素晴らしいです...そして、同じポート上でSFTPを使うことができるという事実に加えて、私はそれなしの生活を想像することができませんでした。 =)
EC2 instance from Amazonと考えることができます。そうすれば、生産を邪魔することなく簡単に「もの」をテストすることができます。また、使用するスペース、時間、帯域幅にのみお支払いください。
家庭からLinuxサーバーを実行する場合、実際にうまく動作する素敵な軽量IDSのためにossecをインストールしてください。
[EDIT]
注意点として、あなたは抵触ISPの利用規定と、彼らは標準ポートでの着信接続を許可の実行しないことを確認してください。私が働いていたISPは、あなたがビジネスクラスのアカウントでない限り、ポート80/25を介してサーバーを実行するために切断することができるという条件で書かれています。私たちはこれらのポートを積極的にブロックしていませんでしたが(問題が発生しない限り気にしませんでした)、ISPによってはポート80または25でトラフィックを許可しないので、代替ポートを使用する必要があります。
あなたが考慮する必要があることは、どのポートが世界に開放されているかです。私は個人的にSSHのポート22とntpdのポート123を開きます。しかし、ポート80(http)またはftpを開いた場合、少なくともあなたが世界に提供しているものと、それを使って何をすることができるかを知ることを学ぶようにしてください。私はftpについてよく分かりませんが、Googleの検索では数百万もの素晴らしいApacheチュートリアルがあります。
可能な限り、セキュリティのベストプラクティスに従うことが重要ですが、あなた自身を過度に困難にしたり、最新の悪用に追いつくことを心配する睡眠を失いたくないことは望ましくありません。言って
言うまでもなくあいまいを通じて
1)セキュリティ上頼る、:私の経験では、あなたの正気を維持しながら、インターネット上で投げるのに十分な安全なあなたの個人的なサーバーを保つのを助けることができる2つの重要な事があります「現実の世界」のこれは悪い考えであり、楽しまないということです。しかし、現実の世界では、悪い人はそこにあるものを知っていて、そこには戦利品があることがあるからです。
パーソナルサーバーでは、攻撃の大部分はすでに侵害されたマシンから自動的に掃除され、脆弱性のある既定のインストールが検索されます。サーバーが既定のポートまたは既定の場所で魅力的なものを提供していない場合、自動化された攻撃者は移動します。したがって、sshサーバーを実行する場合は、非標準ポート(> 1024)に置いてください。見つからない可能性があります。あなたのWebサーバーのためにこの技術を離れて逃げることができれば、あまりにも曖昧なポートにそれをシフトしてください。あなたは絶対に持っていない限り
2)パッケージ管理
は自分自身をコンパイルし、Apacheをインストールするか、ソースからsshdをしないでください。そうした場合、最新のセキュリティパッチを常に最新の状態に保つ責任があります。 DebianやUbuntuのようなLinuxディストリビューションの素敵なパッケージ管理者があなたのために仕事をしてくれます。ディストリビューションのプリコンパイルされたパッケージからインストールして、現在の状態を維持することは、ときどきapt-get update & & apt-get -u dist-upgradeコマンドを発行するか、Ubuntuが提供する任意のファンシーなGUIツールを使用します。
これを行う場合は、多少のお金を費やし、専用のルータ/ファイアウォールを別途のDMZポートで購入してください。 Webサーバーが侵害されたときでも、内部ネットワークがすぐに脆弱ではないように、内部ネットワークをサーバーからファイアウォールで保護する必要があります。
@svrist記載EC2。 EC2は、ポートをリモートで開閉するためのAPIを提供します。この方法で、あなたはあなたの箱を稼動させ続けることができます。喫茶店やクライアントのオフィスからデモをする必要がある場合は、IPを取得してACLに追加することができます。
外部トラフィックを許可する限り、それは「現実の世界」の一部です。 – icedwater