Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen

Was sind die besten Methoden, um meinen Linux-Server zu sichern, der auf Lightsail läuft?

Lesedauer: 4 Minute
0

Ich bin Systemadministrator für Amazon Lightsail-Instances, auf denen Linux ausgeführt wird. Ich möchte die besten Methoden zur Serversicherheit kennenlernen, mit denen ich meine Daten schützen kann.

Behebung

Im Folgenden finden Sie grundlegende bewährte Methoden für die Linux-Serversicherheit. Dies ist keine vollständige Liste. Als lokaler Systemadministrator gibt es viele komplexe Einstellungen, die Sie je nach Ihren Anforderungen und Ihrem Anwendungsfall konfigurieren müssen.

Verschlüsseln der Datenkommunikation zu und von Ihrem Linux-Server

Verwenden Sie SCP, SSH, rsync oder SFTP für File Transfers. Verwenden Sie nicht FTP und Telnet, da diese nicht sicher sind. Um eine sichere Verbindung (HTTPS) aufrechtzuerhalten, installieren und konfigurieren Sie ein SSL/TLS-Zertifikat auf Ihrem Server.

Reduzieren der Software, um die Sicherheitsanfälligkeit in Linux zu minimieren, und regelmäßig Sicherheitsaudits durchführen

Installieren Sie keine unnötige Software, um Sicherheitslücken durch Software oder Pakete zu vermeiden. Identifizieren und entfernen Sie nach Möglichkeit alle unerwünschten Pakete.

Den Linux-Kernel und die Software auf dem neuesten Stand halten

Sicherheitspatches sind ein wichtiger Bestandteil der Linux-Serverwartung. Linux bietet alle notwendigen Tools, um Ihr System auf dem neuesten Stand zu halten. Sie können problemlos zwischen den Versionen wechseln. Prüfen und installieren Sie alle Sicherheitsupdates, sobald sie veröffentlicht werden, und stellen Sie sicher, dass Sie auf den neuesten verfügbaren Kernel aktualisieren. Um alle Sicherheitsupdates anzuwenden, verwenden Sie die Paketmanager, die auf Ihren Linux-Distributionen basieren, wie zum Beispiel yum, apt-get oder dpkg.

Verwenden Sie Linux-Sicherheitserweiterungen

Linux verfügt über Sicherheitsfunktionen, mit denen Sie sich vor falsch konfigurierten oder kompromittierten Programmen schützen können. Verwenden Sie nach Möglichkeit SELinux und andere Linux-Sicherheitserweiterungen, um Einschränkungen für Netzwerk- und andere Programme durchzusetzen.

Das Root-Login ausschalten

Loggen Sie sich nicht als Root-Benutzer ein. Bei Bedarf empfiehlt es sich, sudo zum Ausführen von Befehlen auf Stammebene zu verwenden. Sudo erhöht die Sicherheit des Systems und gibt die Anmeldeinformationen nicht an andere Benutzer und Administratoren weiter. Weitere Informationen finden Sie unter Verbiete von Root-Zugriff auf der Red Hat-Website.

Verwenden Sie SS oder netstat, um abhörende Netzwerkports zu finden und alle anderen Ports zu schließen oder einzuschränken

Verwenden Sie ss oder netstat, um die Anschlüsse zu finden, die auf den Netzwerkschnittstellen des Systems lauschen. Alle offenen Anschlüsse könnten ein Hinweis auf ein Eindringen sein. Weitere Informationen finden Sie unter Linux-Netzwerk: Socket-Statistiken über ss und Linux-Netzwerk: 13 Verwendungen für netstat auf der Red Hat-Website.

Konfigurieren Sie die Lightsail-Firewall und Firewalls auf Betriebssystemebene auf Linux-Servern für zusätzliche Sicherheit

Verwenden Sie die Lightsail-Firewall, um den Datenverkehr zu filtern und nur den erforderlichen Datenverkehr auf Ihrem Server zuzulassen. Die Firewall auf Betriebssystemebene ist ein User-Space-Anwendungsprogramm, mit dem Sie die vom Linux-Kernel bereitgestellten Firewalls konfigurieren können. Abhängig von Ihrer Linux-Distribution können Sie iptables, ufw, firewalld usw. verwenden. Weitere Informationen zu iptables und firewalld finden Sie unter Einstellung und Kontrolle von IP-Sets mit iptables und Benutzen von Firewalls auf der Red Hat-Website. Weitere Informationen zu ufw finden Sie unter Sicherheit — Firewall auf der Ubuntu-Website.

Verwenden von auditd, um Ihr System zu überprüfen

Verwenden Sie auditd, um Ihr System zu überprüfen. Auditd schreibt Audit-Aufzeichnungen auf die Festplatte. Es überwacht auch Systemaktivitäten wie Systemanmeldungen, Authentifizierungen, Kontoänderungen und SELinux-Ablehnungen. Diese Aufzeichnungen helfen Ihnen dabei, böswillige Aktivitäten oder unbefugten Zugriff zu identifizieren. Weitere Informationen finden Sie unter Konfigurieren der Linux-Systemüberwachung mit auditd auf der Red Hat-Website.

**Installieren eines IDS **

Verwenden Sie fail2ban oder denyhost als Intrusion Detection System (IDS). Fail2ban und denyhost durchsuchen die Protokolldateien nach zu vielen fehlgeschlagenen Anmeldeversuchen und blockieren die IP-Adresse, die Anzeichen bösartiger Aktivitäten aufweist.

Regelmäßig Backups erstellen

Weitere Informationen finden Sie unter Schnappschüsse in Amazon Lightsail.

Vermeiden Sie Lese-, Schreib- und Ausführungsberechtigungen (777) für Dateien und Verzeichnisse für Benutzer, Gruppen und andere

Sie können chmod verwenden, um den Zugriff auf Dateien und Verzeichnisse wie das Web-Root-Verzeichnis oder das Dokumentenstammverzeichnis einzuschränken. Weitere Informationen finden Sie unter Linux-Berechtigungen: Eine Einführung in chmod auf der Red Hat-Website. Um nur autorisierten Benutzern Zugriff zu gewähren, bearbeiten Sie die Berechtigungen. Weitere Informationen finden Sie unter So verwalten Sie Linux-Berechtigungen für Benutzer, Gruppen und andere auf der Red Hat-Website.

Ähnliche Informationen

Sicherheit in Amazon Lightsail

Konformitätsüberprüfung für Amazon Lightsail

Infrastruktursicherheit in Lightsail

Bewährte Methoden für die Absicherung von Windows Server-basierten Lightsail-Instances

AWS OFFICIAL
AWS OFFICIALAktualisiert vor einem Jahr