Quais são as melhores práticas para proteger meu servidor Linux que está sendo executado no Lightsail?

4 minuto de leitura
0

Sou administrador do sistema para instâncias do Amazon Lightsail que executam Linux. Quero conhecer as melhores práticas de segurança do servidor que posso usar para ajudar a proteger meus dados.

Solução

A seguir estão as melhores práticas básicas de segurança do servidor Linux. Essa não é uma lista completa. Como administrador do sistema local, há muitas configurações complexas que você deve definir com base em seus requisitos e casos de uso.

Criptografe a comunicação de dados de e para seu servidor Linux

Use SCP, SSH, rsync ou SFTP para transferências de arquivos. Não use FTP e Telnet porque eles não são seguros. Para manter uma conexão segura (HTTPS), instale e configure um certificado SSL/TLS em seu servidor.

Reduza o software para minimizar a vulnerabilidade no Linux e realize auditorias de segurança regularmente

Para evitar vulnerabilidades de software ou pacotes, não instale software desnecessário. Se possível, identifique e remova todos os pacotes indesejados.

Mantenha o kernel e o software Linux atualizados

Os patches de segurança são uma parte importante da manutenção do servidor Linux. O Linux fornece todas as ferramentas necessárias para manter seu sistema atualizado. Você pode facilmente atualizar entre as versões. Revise e aplique todas as atualizações de segurança assim que elas forem lançadas e certifique-se de atualizar para o kernel mais recente disponível. Para aplicar todas as atualizações de segurança, use os gerenciadores de pacotes baseados em suas distribuições Linux, como yum, apt-get ou dpkg.

Use extensões de segurança Linux

O Linux vem com recursos de segurança que você pode usar para se proteger contra programas mal configurados ou comprometidos. Se possível, use o SELinux e outras extensões de segurança do Linux para impor limitações na rede e em outros programas.

Desativar o login root

Não faça login como usuário root. Quando necessário, é uma prática recomendada usar o sudo para executar comandos no nível de root. O sudo aprimora a segurança do sistema e não compartilha as credenciais com outros usuários e administradores. Para obter mais informações, consulte Proibindo o acesso root no site da Red Hat.

Use SS ou netstat para encontrar portas de rede de escuta e fechar ou restringir todas as outras portas

Use ss ou netstat para encontrar as portas que estão escutando nas interfaces de rede do sistema. Qualquer porta aberta pode ser evidência de uma intrusão. Para obter mais informações, consulte Rede Linux: estatísticas de soquete via ss e rede Linux: 13 usos do netstat no site da Red Hat.

Configure o firewall Lightsail e os firewalls de nível de sistema operacional em servidores Linux para obter segurança adicional

Use o firewall do Lightsail para filtrar o tráfego e permitir que somente o tráfego necessário chegue ao seu servidor. O firewall em nível de sistema operacional é um programa de aplicativo de espaço de usuário que permite configurar os firewalls fornecidos pelo kernel Linux. Dependendo da sua distribuição Linux, você pode usar ** iptables**, ufw, firewalld e assim por diante. Para obter mais informações sobre iptables e firewalld, consulte Configurando e controlando conjuntos de IP usando iptables e Usando firewalls no site da Red Hat. Para obter mais informações sobre o ufw, consulte Segurança - Firewall no site do ubuntu.

Use auditd para auditar seu sistema

Use auditd para auditar seu sistema. Auditd grava registros de auditoria no disco. Ele também monitora as atividades do sistema, como logins do sistema, autenticações, modificações na conta e negações do SELinux. Esses registros ajudam a identificar atividades maliciosas ou acessos não autorizados. Para obter mais informações, consulte Configurar a auditoria do sistema Linux com auditd no site da Red Hat.

Instalar um IDS

Use fail2ban ou denyhost como um sistema de detecção de intrusão (IDS). O **fail2ban ** e o denyhost verificam os arquivos de log em busca de muitas tentativas fracassadas de login e bloqueiam o endereço IP que mostra sinais de atividade maliciosa.

Crie backups regularmente

Para obter mais informações, consulte Snapshots no Amazon Lightsail.

Evite permissões de leitura, gravação e execução (777) para arquivos e diretórios para usuários, grupos e outros

Você pode usar o chmod para restringir o acesso a arquivos e diretórios, como o diretório raiz da web ou a raiz do documento. Para obter mais informações, consulte Permissões do Linux: Uma introdução ao chmod no site da Red Hat. Para fornecer acesso somente a usuários autorizados, edite as permissões. Para obter mais informações, consulte Como gerenciar permissões Linux para usuários, grupos e outros no site da Red Hat.

Informações relacionadas

Segurança no Amazon Lightsail

Validação de conformidade para Amazon Lightsail

Segurança da infraestrutura no Lightsail

Práticas recomendadas para proteger instâncias do Lightsail baseadas no Windows Server

AWS OFICIAL
AWS OFICIALAtualizada há 9 meses