Запуск сервера в моей домашней / личной сети - какие меры предосторожности я должен предпринять в отношении безопасности?

Question

Я использовал облачный сервер для выполнения всей моей личной работы на сервере - у меня нет ноутбука с Linux, поэтому я использую его с ssh для выполнения всей моей офисной работы, работы в целом, программирования, разработки на нем (и использования Dropbox для загрузки готовых файлов на мой ноутбук), а также размещения на нем нескольких веб-приложений, которые действительно предназначены только для личного использования (например, веб-приложение для онлайн-журнала, интерфейс для выполнения вычислений), а также для git-сервера.

Я решил создать свой собственный сервер дома с гораздо более мощными компонентами, которые намного дешевле в обслуживании, чем мой облачный сервер. Тем не менее, у меня есть некоторые опасения по поводу открытия порта 80, порта 22 и т.д. Для мира в моей личной сети, которая используется не только мной, но и моей семьей.

Что я должен остерегаться? У меня есть люди, которые предупреждают меня о людях, которые подвергают риску мой сервер и могут взломать наш компьютер и украсть данные и прочее. У меня уже есть fail2ban, но какие меры предосторожности я должен предпринять, прежде чем открывать порты для этого мира?

коробка убунту

(редактировать: я знаю, что есть много вещей, которые я могу сделать, чтобы защитить сервер в целом :) Мне просто интересно узнать о советах, касающихся размещения сервера в моей домашней сети)

Answer 1

Лично я бы сегментировал свою домашнюю сеть так, чтобы сервер был отделен от остальной сети - таким образом, если сервер будет взломан, будет нелегко атаковать ваши другие системы (это легко, если вы используете что-то вроде pfSense - не так просто, если вы просто используете потребительский маршрутизатор). Может быть, излишне - но я отношусь к безопасности более серьезно, чем некоторые другие.

Существует много руководств по передовым методам защиты новых серверов, поэтому я не буду здесь это повторять, но потратьте время, чтобы убедиться, что вы правильно настроили конфигурацию. Убедитесь, что вы часто устанавливаете обновления, следите за журналами на предмет чего-то странного. Такие инструменты, как fail2ban, могут в значительной степени остановить злоумышленников, прежде чем они добьются слишком большого прогресса - но это всего лишь один уровень защиты.

Убедитесь, что вы ограничиваете порты, которые вы выставляете, только тем, что вам нужно, и ничего лишнего - чем меньше вы выставляете, тем меньше ваш риск. Если вы открываете SSH, убедитесь, что вы не разрешаете пользователю root входить через SSH, и рассмотрите возможность использования некоторой формы двухфакторной аутентификации.

Многие люди не понимают, как мало хостов делают для защиты вашего сервера - странно, если ваша домашняя система будет более безопасной, чем та, за которую вы сейчас платите.