Ограниченные входы в систему + закрыты почти все порты: безопасно?

Question

Контекст:

Я планирую путешествовать. Я хочу сделать небольшое облако с моим личным сервером. Я хотел бы добавить некоторые из моих файлов и в конечном итоге загрузить некоторые файлы, которые не будут выполняться, и все будет защищено нетривиальным паролем.

Я единственный человек-пользователь.

Netfilter: все порты закрыты, но порт 443. Нет сценариев для выполнения. Apache с наименьшими возможными привилегиями.

Я отключил все удаленные входы в систему с помощью скрипта, который автоматически запускается всякий раз, когда пользователь пытается войти в /etc /profile (по сути, он исключает всех, кто пытается подключиться, поскольку я просто хочу иметь возможность подключиться к коробке физически).

Но я просто открыл свой порт 443 с помощью Apache и профилированного аппармора, чтобы быть уверенным, что Apache не делает глупостей. Нет базы данных.

Обновлена стабильная версия Debian на 64 бита.

Вопрос:

Достаточно ли будет, чтобы защитить мою коробку? Я что-то упустил? Любые другие советы?

Спасибо

Answer 1

Это очень широкая тема, но это мои 2 цента:

• Зашифруйте ваши диски.
• Не ограничивайте AppArmor apache .
• При условии организованного расположения разделов /LVM2 большая часть системы может быть смонтирована только для чтения.

• Смонтируйте nodev,nosuid,noexec все, для чего не нужны эти разрешения, apt и aptitude могут потребоваться временные разрешения на выполнение в /tmp , вы можете добавить это в ваш /etc/apt/apt.conf или во фрагмент во /etc/apt/apt.conf.d:

  DPkg::Pre-Invoke {"mount -o remount,exec /tmp";};
  DPkg::Post-Invoke {"mount -o remount /tmp";};
  

• Используйте учетную запись без полномочий root и предоставьте только необходимые разрешения sudo для этой учетной записи.
• Если это будет связано с Интернетом, используйте fail2ban или denyhosts .
• Делайте регулярные обновления безопасности.
• Поместите журналы в отдельный раздел / логический том.
• Сделайте резервные копии и проверьте их.
• План возможного компромисса.