Kész a friss Linux telepítés?
Ne hagyd „pucéron” a neten!
Kész a friss Linux telepítés?
Ne hagyd „pucéron” a neten!
Sokan azt hiszik, hogy egy apt update && apt upgrade után kész is a munka. De a valóságban egy frissen telepített, alapbeállításokkal hagyott szerver a nyílt interneten olyan, mint egy nyitott ajtajú ház egy forgalmas utcában.
Íme az én 5 lépéses "Hardening" checklistem, amit minden egyes új szervernél végigfuttatok, mielőtt bármi mást telepítenék.
Felejtsd el a jelszavas belépést! Csak SSH-kulcsos hitelesítést engedélyezz. Tiltsd le a Root belépést távolról.
Szerkeszd az /etc/ssh/sshd_config fájlt: PasswordAuthentication no és PermitRootLogin no
Az alapelv: „Mindent tiltsunk le, amit nem muszáj engedni.” Ha csak webserver lesz, csak a 80/443-at és az SSH portját (22) nyisd ki.
ufw default deny incoming – ezzel kezdd, aztán építkezz!
Hiába nincs jelszavad, a botok akkor is kopogtatni fognak. A Fail2Ban figyeli a logokat, és ha valaki túl sokszor próbálkozik hibásan, automatikusan kitiltja az IP-címét a tűzfalon. Kötelező darab.
Senki nem akar minden nap manuálisan frissíteni. Az unattended-upgrades csomag segít abban, hogy a kritikus biztonsági javítások maguktól települjenek, miközben te alszol.
Soha ne dolgozz root-ként! Hozz létre egy saját felhasználót, adj neki sudo jogot, és csak akkor válts magasabb szintre, ha tényleg szükséges.
A biztonság nem egy állapot, hanem egy folyamat, de ez az 5 lépés már egy olyan alapot ad, amivel a támadások 99%-át kivédheted.