सार्वजनिक पहुंच के लिए लिनक्स वेबसर्वर को सुरक्षित करना

Question

मैं विभिन्न वेब प्रौद्योगिकियों (PHP & जावा ईई को ध्यान में रखकर वेब सर्वर के रूप में एक सस्ता लिनक्स बॉक्स सेट अप करना चाहता हूं, लेकिन मैं रूबी के साथ प्रयोग करना चाहता हूं या भविष्य में पायथन भी)।

मैं जावा ईई अनुप्रयोगों की सेवा के लिए लिनक्स पर चलाने के लिए टोमकैट स्थापित करने में काफी रूचि रखता हूं, लेकिन मैं इस सर्वर को खोलने में सक्षम होना चाहता हूं, यहां तक ​​कि बस मैं कुछ टूल्स बना सकता हूं जिनका उपयोग मैं कर सकता हूं मैं कार्यालय में काम कर रहा हूं। जावा ईई साइट्स को कॉन्फ़िगर करने के साथ मैंने जो अनुभव किया है, वह इंट्रानेट अनुप्रयोगों के लिए है, जहां हमें बताया गया था कि बाहरी उपयोगकर्ताओं के लिए पृष्ठों को सुरक्षित करने पर ध्यान केंद्रित न करें।

बाहरी लिनक्स के लिए इसे खोलने के लिए एक सुरक्षित पर्याप्त तरीके से व्यक्तिगत लिनक्स वेब सर्वर स्थापित करने पर आपकी सलाह क्या है?

Answer 1

यह लेख चीजों को लॉक करने के लिए सर्वोत्तम उपाय के कुछ हैं:

http://www.petefreitag.com/item/505.cfm

कुछ मुख्य बातें:

• करें कि कोई भी निर्देशिका ब्राउज़ कर सकते हैं बनाने
• यकीन है कि केवल रूट बनाओ सब कुछ के लिए विशेषाधिकार लिखते हैं, और केवल रूट ने कुछ कॉन्फ़िगरेशन फ़ाइलों को विशेषाधिकार पढ़ा है
• रन mod_security

लेख भी इस पुस्तक से कुछ संकेत लेता है:

Apache Securiy (ओ रेली प्रेस)

जहाँ तक distros के रूप में, मैं Debain और Ubuntu चला लिया है, लेकिन यह सिर्फ पर कैसे निर्भर करता है आप बहुत कुछ करना चाहते हैं। मैं किसी भी एक्स के साथ डेबियन भाग गया और जब भी मुझे कुछ चाहिए तो बस उसमें ssh'd। यह ऊपर की ओर रखने के लिए एक आसान तरीका है। या उबंटू में कुछ अच्छी GUI चीजें हैं जो अपाचे/MySQL/PHP को नियंत्रित करना आसान बनाती हैं।

Answer 2

ऐसा करने के कई तरीके हैं जो ठीक काम करेंगे। मैं आमतौर पर jtut एक .htaccess फ़ाइल का उपयोग करेंगे। पर्याप्त को सेट अप और सुरक्षित करने के लिए त्वरित। शायद सबसे अच्छा विकल्प नहीं है लेकिन यह मेरे लिए काम करता है। मैं इसके पीछे अपने क्रेडिट कार्ड नंबर नहीं डालूंगा लेकिन इसके अलावा मैं वास्तव में परवाह नहीं करता हूं।

Answer 3

यदि आप इसके बारे में अपनी आवाज रखते हैं तो यह सुरक्षित और सुरक्षित है (यानी, शायद ही कभी कोई आपके घर के सर्वर के बाद आएगा यदि आप घर कनेक्शन पर एक गौरवशाली वेबूटॉट होस्ट कर रहे हैं) और आपकी कॉन्फ़िगरेशन के बारे में आपकी इच्छाएं (यानी , सब कुछ के लिए रूट का उपयोग करने से बचें, सुनिश्चित करें कि आप अपने सॉफ्टवेयर को अद्यतित रखें)।

उस नोट पर, यद्यपि यह धागा संभावित रूप से फ्लेमिंग करने के लिए कम हो जाएगा, आपके व्यक्तिगत सर्वर के लिए मेरा सुझाव उबंटू (get Ubuntu Server here) से कुछ भी चिपकना है; मेरे अनुभव में, फ़ोरम पर प्रश्न पूछने से उत्तर प्राप्त करने के लिए सबसे तेज़ (हालांकि सुनिश्चित नहीं है कि आगे बढ़ने के बारे में क्या कहना है)।

मेरा घर सर्वर सुरक्षा बीटीडब्ल्यू थोडा लाभ (मुझे लगता है, या मुझे लगता है) एक स्थिर आईपी (DynDNS पर चलता है) से नहीं।

शुभकामनाएं!

/mp

Answer 4

वाह, आप कीड़े की एक कर सकते हैं खोलने जा रहे जैसे ही आप बाहरी यातायात अप करने के लिए कुछ भी खोलने शुरू करते हैं। ध्यान रखें कि आप एक प्रयोगात्मक सर्वर पर विचार करते हैं, लगभग एक बलिदान भेड़ के बच्चे की तरह, आपके नेटवर्क और संसाधनों के साथ बुरी चीजें करने वाले लोगों के लिए भी आसान पिकिंग है।

बाहरी रूप से उपलब्ध सर्वर के लिए आपका पूरा दृष्टिकोण बहुत रूढ़िवादी और गहन होना चाहिए। यह फ़ायरवॉल नीतियों जैसी सरल चीजों से शुरू होता है, इसमें अंतर्निहित ओएस शामिल है (इसे पैच रखते हुए, सुरक्षा के लिए इसे कॉन्फ़िगर करना आदि) और इसमें प्रत्येक स्टैक की प्रत्येक परत शामिल है जिसका आप उपयोग करेंगे। एक साधारण जवाब या नुस्खा नहीं है, मुझे डर है।

यदि आप प्रयोग करना चाहते हैं, तो आप सर्वर को निजी रखने और वीपीएन का उपयोग करने के लिए बेहतर प्रदर्शन करेंगे यदि आपको इसे दूरस्थ रूप से काम करने की आवश्यकता है।

Answer 5

जंगली में एसएसएच बंदरगाह खोलने के बारे में सावधान रहें। यदि आप करते हैं, तो रूट लॉग इन को अक्षम करना सुनिश्चित करें (जब आप अंदर आते हैं तो आप हमेशा su या sudo कर सकते हैं) और कारण के भीतर अधिक आक्रामक प्रमाणीकरण विधियों पर विचार करें। मैंने अपने सर्वर लॉग में एक विशाल शब्दकोश हमला देखा जो एक सप्ताहांत मेरे एसएसएच सर्वर के बाद एक DynDNS होम आईपी सर्वर से जा रहा है।

कहा जा रहा है कि, यह वास्तव में बहुत ही बढ़िया है कि आप अपने घर के खोल को काम से दूर या दूर ले सकें ... और इस तथ्य को जोड़कर कि आप उसी बंदरगाह पर एसएफटीपी का उपयोग कर सकते हैं, मैं इसके बिना जीवन की कल्पना नहीं कर सका । =)

Answer 6

आप EC2 instance from Amazon पर विचार कर सकते हैं। इस तरह आप आसानी से उत्पादन के साथ गड़बड़ किए बिना "सामान" का परीक्षण कर सकते हैं। और केवल उस स्थान, समय और बैंडविड्थ के लिए भुगतान करें जिसका आप उपयोग करते हैं।

Answer 7

यदि आप घर से लिनक्स सर्वर चलाते हैं, तो ossec पर एक अच्छा हल्के आईडीएस के लिए स्थापित करें जो वास्तव में अच्छी तरह से काम करता है।

[संपादित करें]

एक तरफ ध्यान दें के रूप में, यह सुनिश्चित करें कि आप अपने आईएसपी स्वीकार्य उपयोग नीति और है कि वे मानक बंदरगाहों पर आने वाली कनेक्शन की अनुमति के afoul समाप्त न हो। आईएसपी मैं काम करता था क्योंकि उसने अपनी शर्तों में लिखा था कि आप पोर्ट 80/25 पर सर्वर चलाने के लिए डिस्कनेक्ट हो सकते हैं जबतक कि आप व्यवसाय-वर्ग खाते पर न हों। हालांकि हमने उन बंदरगाहों को सक्रिय रूप से अवरुद्ध नहीं किया था (हमने तब तक परवाह नहीं की जब तक कि यह कोई समस्या नहीं पैदा कर रहा था) कुछ आईएसपी पोर्ट 80 या 25 पर किसी भी यातायात की अनुमति नहीं देते हैं, इसलिए आपको वैकल्पिक बंदरगाहों का उपयोग करना होगा।

Answer 8

एक चीज आपको इस बात पर विचार करना चाहिए कि दुनिया के बंदरगाह क्या खुले हैं। मैं व्यक्तिगत रूप से एसएसएच के लिए बंदरगाह 22 और एनटीपीडी के लिए पोर्ट 123 खोलता हूं। लेकिन अगर आप पोर्ट 80 (http) या ftp खोलते हैं तो सुनिश्चित करें कि आप कम से कम जानना सीखें कि आप दुनिया में क्या सेवा कर रहे हैं और इसके साथ क्या कर सकते हैं। मैं ftp के बारे में बहुत कुछ नहीं जानता, लेकिन लाखों महान अपाचे ट्यूटोरियल सिर्फ एक Google खोज दूर हैं।

Answer 9

जहां भी संभव हो सुरक्षा सुरक्षा सर्वोत्तम अभ्यासों का पालन करना महत्वपूर्ण है, लेकिन आप अपने लिए चीजों को अनिवार्य रूप से कठिन नहीं बनाना चाहते हैं या नवीनतम शोषण को बनाए रखने के बारे में चिंता करने की नींद खोना नहीं चाहते हैं।अंधकार

जरूरत नहीं के माध्यम से

1) सुरक्षा कहते हैं, पर निर्भर: मेरे अनुभव में, दो महत्वपूर्ण बातें मदद कर सकते हैं कि आपकी व्यक्तिगत सर्वर पर्याप्त को सुरक्षित रखने, जबकि आपके विवेक को बनाए रखना इंटरनेट पर फेंकने के लिए कर रहे हैं यह 'वास्तविक दुनिया' में एक बुरा विचार है और मनोरंजन नहीं किया जाना चाहिए। लेकिन ऐसा इसलिए है क्योंकि असली दुनिया में, बदमाशों को पता है कि वहां क्या है और इसमें लूट होना है।

एक व्यक्तिगत सर्वर पर, आप जिन 'हमलों' का सामना करेंगे, वे केवल उन मशीनों से स्वचालित स्वीप होंगे जिन्हें पहले से ही समझौता किया गया है, जो कमजोर होने वाले उत्पादों की डिफ़ॉल्ट स्थापना की तलाश में हैं। यदि आपका सर्वर डिफ़ॉल्ट बंदरगाहों या डिफ़ॉल्ट स्थानों पर लुभावना कुछ भी प्रदान नहीं करता है, तो स्वचालित हमलावर आगे बढ़ेगा। इसलिए, यदि आप एक एसएसएच सर्वर चलाने जा रहे हैं, तो इसे एक गैर-मानक पोर्ट (> 1024) पर रखें और इसकी संभावना है कि यह कभी नहीं मिलेगा। यदि आप अपने वेब सर्वर के लिए इस तकनीक से दूर हो सकते हैं तो महान, इसे एक अस्पष्ट बंदरगाह पर भी बदलें।

2) पैकेज प्रबंधन

संकलन न करें और अपाचे स्थापित करने या स्रोत अपने आप से sshd जब तक आप पूरी तरह से करने के लिए है। यदि आप करते हैं, तो आप नवीनतम सुरक्षा पैच के साथ अद्यतित रखने की ज़िम्मेदारी ले रहे हैं। लिनक्स डिस्ट्रोज़ जैसे अच्छे पैकेज रखरखाव करने वाले डेबियन या उबंटू जैसे आपके लिए काम करते हैं। डिस्ट्रो के प्रीकंपिल्ड पैकेज से स्थापित करें, और वर्तमान में रहना कभी-कभी अपडेट प्राप्त करने का मामला बन जाता है & & apt-get -u dist-upgrade कमांड, या जो भी फैंसी जीयूआई उपकरण उबंटू प्रदान करता है।

Answer 10

यदि आप ऐसा करने जा रहे हैं, तो थोड़ा सा पैसा खर्च करें और कम से कम एक समर्पित डीएमजेड पोर्ट के साथ एक समर्पित राउटर/फ़ायरवॉल खरीदें। आप अपने सर्वर से अपने आंतरिक नेटवर्क से फ़ायरवॉल करना चाहते हैं ताकि जब (यदि नहीं!) आपके वेब सर्वर से समझौता किया गया है, तो आपका आंतरिक नेटवर्क तुरंत कमजोर नहीं होता है।

Answer 11

बिट-टेक.नेट ने लिनक्स का उपयोग करके होम सर्वर को सेटअप करने के तरीके पर कुछ लेख चलाए।

Article 1
Article 2

आशा है कि उन लोगों के लिए कुछ मदद की हैं: यहाँ लिंक कर रहे हैं।

Answer 12

@ एसक्रिस्ट ने ईसी 2 का उल्लेख किया। ईसी 2 बंदरगाहों को दूरस्थ रूप से खोलने और बंद करने के लिए एक एपीआई प्रदान करता है। इस तरह, आप अपना बॉक्स चलाना जारी रख सकते हैं। यदि आपको कॉफी शॉप या क्लाइंट के कार्यालय से डेमो देना है, तो आप अपना आईपी पकड़ सकते हैं और इसे एसीएल में जोड़ सकते हैं।