私はWebサーバーに対するセキュリティの脅威を研究してきました。これにより、Raspbian OSシステムで自分自身を安全に保護したいと思います。サーバーにインストールまたは構成する推奨またはオプションのコンテンツのリストは何ですか?
私は現在以下を持っています:
貝殻ウイルス
失敗2禁止
Apache httpd
また、リモートで作業する予定なので、SSHを含むこれらのパッケージをできるだけ安全に構成する方法を教えてください。
答え1
1. すべてをアップグレード
apt update && apt upgrade -y
2. セキュリティ SSH
grep -P ^Pass /etc/ssh/sshd_config
PasswordAuthentication no
3. SSHとhttpsのみを許可するようにiptables(またはufwなど)を設定します。
apt install -y iptables-persistent
iptables --flush
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 255 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited
iptables-save > /etc/iptables/rules.v4
ip6tables --flush
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -p ipv6-icmp -j ACCEPT
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT
ip6tables -A INPUT -j REJECT
ip6tables -A FORWARD -j REJECT
ip6tables-save > /etc/iptables/rules.v6
4. Apacheがスクリプト(PHPなど)を実行できないようにするか、コードが良好であることを確認してください。
5.オフサイトエアギャップバックアップ、階層化されたセキュリティ、侵入検知システム、ディスク全体の暗号化、およびタスクごとにコンピュータを分離します。
6. 静的分析の使用
- https://www.ssllabs.com/ssltest/
- https://securityheaders.com/
- https://developers.google.com/web/tools/lighthouse/
- https://jigsaw.w3.org/css-validator/
- https://github.com/exakat/php-static-analytic-tools
- など
6.自分で教育してください...