Контекст:

Я планирую путешествовать. Я хочу сделать небольшое облако с моим личным сервером. Я хотел бы добавить некоторые из моих файлов и в конечном итоге загрузить некоторые файлы, которые не будут выполняться, и все будет защищено нетривиальным паролем.

Я единственный человек-пользователь.

Netfilter: все порты закрыты, но порт 443. Нет сценариев для выполнения. Apache с наименьшими возможными привилегиями.

Я отключил все удаленные входы в систему с помощью скрипта, который автоматически запускается всякий раз, когда пользователь пытается войти в /etc /profile (по сути, он исключает всех, кто пытается подключиться, поскольку я просто хочу иметь возможность подключиться к коробке физически).

Но я просто открыл свой порт 443 с помощью Apache и профилированного аппармора, чтобы быть уверенным, что Apache не делает глупостей. Нет базы данных.

Обновлена стабильная версия Debian на 64 бита.

Вопрос:

Достаточно ли будет, чтобы защитить мою коробку? Я что-то упустил? Любые другие советы?

Спасибо

1 ответ1

0

Это очень широкая тема, но это мои 2 цента:

  • Зашифруйте ваши диски.
  • Не ограничивайте AppArmor apache .
  • При условии организованного расположения разделов /LVM2 большая часть системы может быть смонтирована только для чтения.
  • Смонтируйте nodev,nosuid,noexec все, для чего не нужны эти разрешения, apt и aptitude могут потребоваться временные разрешения на выполнение в /tmp , вы можете добавить это в ваш /etc/apt/apt.conf или во фрагмент во /etc/apt/apt.conf.d:

    DPkg::Pre-Invoke {"mount -o remount,exec /tmp";};
    DPkg::Post-Invoke {"mount -o remount /tmp";};
    
  • Используйте учетную запись без полномочий root и предоставьте только необходимые разрешения sudo для этой учетной записи.
  • Если это будет связано с Интернетом, используйте fail2ban или denyhosts .
  • Делайте регулярные обновления безопасности.
  • Поместите журналы в отдельный раздел / логический том.
  • Сделайте резервные копии и проверьте их.
  • План возможного компромисса.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .