공용 액세스를 위한 Linux 웹서버 보안 유지

저렴한 Linux 박스를 웹 서버로 설정하여 다양한 웹 기술을 호스팅하고 싶습니다(PHP 및 Java EE가 가장 먼저 떠오르지만, 향후 Ruby 또는 Python도 실험해보고 싶습니다).

저는 Java EE 애플리케이션을 제공하기 위해 Linux에서 실행되도록 Tomcat을 설정하는 데 꽤 능숙하지만, 사무실에서 작업하는 동안 사용할 수 있는 몇 가지 도구를 만들기 위해서라도 이 서버를 열 수 있기를 원합니다. 지금까지 제가 경험한 Java EE 사이트 구성은 모두 외부 사용자를 위한 페이지 보안에 집중하지 말라는 지시를 받은 인트라넷 애플리케이션을 위한 것이었습니다.

외부 트래픽을 위해 개방할 수 있을 만큼 안전한 방식으로 개인 Linux 웹 서버를 설정하는 데 대한 조언은 무엇인가요?

icedwater
편집된 질문24일 10월 2013 в 8:07
프로그래밍
webserver linux security
7일 8월 2008 в 6:10
28 파운드
해결책

이 문서는 셨으며 잠급니다 다운되어도 가장 좋은 방법은 보유하고 있다.

http://www.petefreitag.com/item/505.cfm

주요 사항:

  • Smartupdate 디렉터리용 찾아볼 수 없다
  • Root 가 쓰기 권한이 미디어만을 smartupdate 설명하였노라 root 가 특정 파일 읽기 권한, 단 구성
  • Mod_security 실행하십시오

이 기사는 또한 는 일부 포인터는 from this book:

아파치 세커리 (O& # 39, 라일리 Press)

39, ve, 멀리는 배포판은 I& 데바인 실행하십시오 할 때는 그냥 달려 있지만, 우분투, 내가 얼마나 실행했음 없이 그냥 ssh&; d # 39 에 X 및 데비안 때마다 아무 것도 필요하다. 살릴 수 있는 것은 단순한 오버헤드에 아래에있어. 아파치 / MySQL GUI 의 일부 또는 unbuntu 쉽게 제어할 수 있는 좋은 셨으며 / PHP.

해설 (0)

39 의 중요한 보안 best practice 준수하십시오 it& 확장하지만 don& # 39, t, 가능하면 어려운 것은 자신 또는 잠을 잘 수 있도록 할 것을 걱정하는 손실됩니다 (keeping up with 최신 일생. 내 경험상 보안을 유지할 수 있는 개인용 서버 보안, 두 가지 주요 창조하셨노 던질 수 있을 만큼 up on the internet 유지하면서 너회의 정신:

빛을 이용한 보안 1)

말할 나위 없이 world& # 39, & # 39 에 의존하고, 실제 이. 안 좋은 생각이에요 및 멀티미디어 기능을 즐길 수 없습니다. 그러나 that& # 39 의 현실 세계에서 알고 있는지, 그 때문에 악인 what& # 39 의 there& # 39 의 전리품 수 있었다.

39, & # 39 의 개인용 서버, 대부분의 attacks&. # 39 는 단순히 you&, ll 그들이실천하는 자동화할 수 있는 시스템을 통해 이미 손상된 제품을 찾는 새삼 기본 설치 취약한 것으로 알려졌다. # 39 의 경우 최대 묘미는 기본 포트, t 는 서버 doesn& 아무것도 또는 기본값입니다 위치를 오토메이티드 공격수 이동할 수 있습니다. 따라서 you& # 39, re) 로 하고, 입어 ssh 서버 실행하십시오 비표준 포트에만 &gt, 1024년) 및 it& # 39 의 절대로 발견될 가능성이 높다. 이 기술을 사용하면 웹 서버에 대한 도망칠 수 있다면, 그 큰 변화가 너무 포트로부터 충족되었으며 않았다.

2) 패키지 관리

39 에서 소스 컴파일 및 설치, Apache 또는 sshd don& 교도관님도요 nnt 않으면 할 수 없다. 그렇지 않으면 you& # 39, re 대한 온정적 최신품이다 항상 최신 보안 패치를 사용하여 그 책임을 면할 수 없다. 리눅스 배포판은 데비안 패키지 등 좋은 일을 할 수 있는 기능을 통해 유지 관리자 또는 unbuntu 당신꺼에요. # 39 에서 설치 패키지, 무 (無) 의 사전 컴파일된 distro& 실행하면 현재 문제가 되어, 가끔 apt 확보하십시오. &amp 업데이트하십시오 &amp. 어떤 명령을 사용하여, 또는 - u dist 업그레이드합니다 apt 확보하십시오. 돌림무늬 gui 도구인 unbuntu 있습니다.

해설 (1)

홈 서버 설정 방법에 대한 몇 가지 가공물과 bit-tech.net 실행했음 리눅스 사용. 다음은 링크:

제 1 &lt br />; 제 2 조

그러나 일부 도움말에서는 희망이 있다.

해설 (0)

One thing to the world) 는 어떤 포트가 열려 반드시 고려해야 합니다. 오픈 SSH 나 그냥 개인적으로 포트 22 를 위한 포트 123 나프트. 하지만 잘 알아야 합니다 (http) 또는 ftp 포트 80 열 경우 최소한 세계, 누가 어떤 작업을 수행할 수 있는 너희는너희가 제공입니다 있다. # 39, ftp, 내가 모르는 don& 대해 많은 수축됐는데 수백만 멋지구리해요 아파치 자습서는 그냥 구글 검색 가능합니다.

해설 (0)

@svrist EC2 언급했다. EC2 는 API 를 열고 닫는 포트+ 원격으로요. 이런 식으로 기입란 실행 상태로 유지할 수 있습니다. If you need to give a, s office # 39 에서 커피숍 또는 client& 데모 시스템을 통해 IP 및 ACL 에 추가할 수 있습니다

해설 (0)

리눅스 서버 설치 할 경우 실행하십시오 집에서 오스릭 의 it for a nice 참 좋았댄다 사용할 수 있는 가벼운 침입탐지시스템 (ids)

[편집]

이에 따라 해당 ISP& 충돌한다 실행하십시오 때는기대어 참고, 안됩니다; s 이용 목적 제한 방침 및 # 39 그들이 규칙수신되는 허용하시겠습니까 접속 표준 포트. I had it 일하시는 ISP 를 실행할 수 있는 경우를 제외하고는 모국어로 작성된 약관보다 연결을 끊을 수 있는 기업용 서버 포트를 통해 80/25 조교하실 빠르시니라 비록 우리가 적극적으로 블록이어야 didn& t # 39, 해당 포트 (저희에게는힘과 didn& # 39 는 문제를 일으키는 경우가 아니라면, t care), 25 또는 80 포트를 통해 일부 isp don& t # 39 허용하지 트래픽으로부터 뷰대체 포트+ 사용해야 할 것입니다.

dragonmantank
편집된 답변12일 8월 2008 в 8:21
해설 (0)

(즉, 홈 연결에서 미화된 웹루트를 호스팅하는 경우 누군가가 홈 서버를 노리는 경우는 거의 없다) 그리고 설정에 대한 재치(모든 것에 루트를 사용하지 않고 소프트웨어를 최신 상태로 유지)를 발휘하면 안전하고 안전하다.

이 글은 자칫 논쟁으로 변질될 수 있지만, 개인 서버는 우분투(여기에서 우분투 서버 다운로드)를 사용하는 것이 좋습니다. 제 경험상 포럼에서 질문하는 것이 가장 빠른 답변을 얻을 수 있었습니다(하지만 흡수에 대해서는 뭐라고 해야 할지 모르겠습니다).

제 홈 서버 보안은 고정 IP를 사용하지 않는 것(DynDNS에서 실행)으로부터 일종의 이점을 얻습니다(또는 그렇게 생각하고 싶어요).

행운을 빕니다!

/mp

해설 (0)

Ssh 포트로의 야생 열 때는 주의를 기울여야 합니다. 그렇지 않으면 smartupdate 스크립트루트 비활성화하려면 로그인 (넌 언제나 'promi' 또는 'sudo' 한 번 확보하십시오 인치), 좀 더 적극적인 인증 방법을 고려해보십시오 안에 있기 때문이다. 내가 본 것 중 큰 사전 공격 후 디드너스 에서 내 주말 홈 서버 로그를 내 SSH 서버 IP 서버.

정말 멋진 it& 구할 수 있을 수 있다는 것, s # 39 에서 사용자의 홈 쉘로 업무 또는 앞으로 다가왔다. 추가, SFTP 를 통해 사용할 수 있다는 사실을 내가 없는 삶을 상상할 t # 39, 동일한 포트에도 couldn& 거잖나. =)

해설 (0)

[Ui_policytable_java_spe_policy 충스러웠으니 아마존 EC2 인스턴스] [1] 할 수 있습니다. 그래야 나중에 쉽게 테스트해 stuff&quot "; 메싱 없이 생산. 유일한 공간, 시간 및 대역폭 지불해야 사용할 수 있습니다.

[1]: http://www.amazon.com/gp/browse.html? 노드입니다 20159001 = 1

해설 (0)

39, re going you& 경우 이를 통해 방화벽 / 돈 들여 별도의 전용 라우터 비트 최소한 구입해보세요 비무장지대 (dmz) 포트. # 39, ll want to 방화벽 오프하도록 you& 내부 네트워크의 서버에서 도왔으매 때 아닌 경우!) # 39, t 는 즉시 취약한 웹 서버에 침해, 내부 네트워크의 isn& 잘 알려져 있다.

해설 (0)

이 작업을 수행하는 데는 여러 가지 방법이 있습니다. 저는 보통 .htaccess 파일을 사용합니다. 설정이 빠르고 충분히 안전합니다. 아마도 최선의 선택은 아니지만 저에게는 효과가 있습니다. 신용 카드 번호를 넣지 않는 것이 좋지만 그 외에는 크게 신경 쓰지 않는다.

해설 (0)

와우, 외부 트래픽에 무엇이든 개방하기 시작하자마자 웜 캔을 열게 되는군요. 실험용 서버로 간주되는 서버는 희생양처럼 네트워크와 리소스로 나쁜 짓을 하려는 사람들에게 쉽게 선택될 수 있다는 점을 명심하세요.

외부에서 사용할 수 있는 서버에 대한 전체 접근 방식은 매우 보수적이고 철저해야 합니다. 방화벽 정책과 같은 간단한 것부터 시작하여 기본 OS(패치 유지, 보안 구성 등)를 포함하며 사용하게 될 모든 스택의 모든 계층을 포함해야 합니다. 안타깝게도 간단한 해답이나 레시피는 없다.

실험을 하고 싶다면 서버를 비공개로 유지하고 원격으로 작업해야 하는 경우 VPN을 사용하는 것이 훨씬 더 좋습니다.

해설 (0)