Μόλις νοικιάσατε τον πρώτο Server σας και θέλετε να εξασφαλίσετε την ασφάλειά του από εξωτερικές απειλές. Σήμερα θα δούμε πως μέσα στα πρώτα 10 λεπτά μπορείτε να εφαρμόσετε βασικές ρυθμίσεις ασφαλείας που θα εξασφαλίσουν ένα απομονωμένο περιβάλλον εργασίας.
Εισαγωγή
Πλέον το κόστος για αγορά ενός Virtual Private Server, για προσωπική χρήση, κοστίζει από 5$ τον μήνα.και η διαδικασία απόκτησής του γίνεται σε ένα 20 λεπτό το πολύ. Στο παρόν άρθρο, χρησιμοποιήσαμε ένα VPServer των 5$ από την Digitalocean. Μπορείτε να δημιουργήστε έναν νέο λογαριασμό από το παρακάτω link και θα λάβετε 100$ credits για να τα χρησιμοποιήσετε μέσα σε 60 ημέρες:
Τις περισσότερες φορές η αγορά γίνεται για πειραματισμούς, δοκιμές, ανάπτυξη Web εφαρμογών, ιστοσελίδων ή και για λόγους μεταπώλησης μια διαδικτυακής υπηρεσίας που θέλει να στήσει κάποιος για κάποιον πελάτη του.
Το σημαντικότερο πράγμα που θα πρέπει να κάνετε αφού αποκτήσετε ένα VPS, είναι να ακολουθήσετε μερικά κρίσιμα βήματα τα οποία θα «μπαλώσουν» τις πιο διαδεδομένες μεθόδους μέσω τον οποίων γίνεται η προσπάθεια επίθεσης στον server σας. Με λίγα λόγια, πριν καν αρχίσετε τις δοκιμές η το deployment των web εφαρμογών σας αφιερώστε τα πρώτα 10 λεπτά για να εφαρμόσετε βασικές και κρίσιμες ρυθμίσεις ασφάλειας.
Αφού κάνετε αυτά, σταδιακά μπορείτε να εφαρμόσετε άλλα πιο περίπλοκα συστήματα ασφάλειας εφόσον και αν χρειάζονται (π.χ. IDS και άλλα). Αλλά όπως θα δείτε παρακάτω ακολουθώντας τα παρακάτω βήματα ασφάλειας του VPS σας στα πρώτα 10 λεπτά έχετε μπαλώσει τα πιο κρίσιμα σημεία.
Τέλος να αναφέρω ότι τα παρακάτω βήματα τα έχω κάνει σε VPS με:
- Ubuntu 16.04
- Debian 8
- CentOS 7 (ελάχιστες διαφορές τις οποίες θα σημειώσω)
Αλλαγή password
ssh root@H-IP-tou-Server
Έχετε συνδεθεί με ssh στον Server σας και τις περισσότερες φορές, την πρώτη φορά που θα κάνετε login στον VPS σας θα σας ζητήσει να αλλάξετε τον κωδικό του μοναδικού χρήστη που υπάρχει στον server και δεν είναι άλλος από τον root.
Αν για κάποιο λόγο δεν σας ζητάει αλλαγή του password, τότε αφού συνδεθείτε με τα στοιχεία που σας έχει δώσει για το VPS ο πάροχος, εκτελέστε :
passwd
Δεν χρειάζεται φαντάζομαι να σας πω ότι ο κωδικός του root αλλά και οποιουδήποτε χρήστη (όπως θα κάνουμε παρακάτω) θα πρέπει να είναι ένας κωδικός που αποτελείται από :
- πάνω από 8 χαρακτήρες
- να έχει κεφαλαία
- να έχει σύμβολα
- να έχει αριθμούς
Ένα τρικ που χρησιμοποιώ είναι να μετατρέπω ελληνικές φράσεις σε greeklish και να προσθέτω και σύμβολά και αριθμούς π.χ. το «Α να χαθείς τομάρι»
4naX@83!s7om4r1 (αναχαθειστομαρι)
Εναλλακτικά χρησιμοποιώ π.χ. το script που είδαμε στο άρθρο Δημιουργία τυχαίων κωδικών. Τέλος τα ελέγχω μερικές φορές για το πόσο ισχυρά είναι όπως είδαμε στο άρθρο Έλεγχος κωδικών.
Ενημερώσεις συστήματος
Πριν προχωρήσετε, θα πρέπει αμέσως μετά την αλλαγή του κωδικού του root να ενημερώσετε το σύστημα με τις τελευταίες ενημερώσεις λογισμικού με χρήση του apt σε VPS με Debian/Ubuntu:
apt update apt upgrade
Τα παραπάνω μπορούν να γίνουν αυτόματα με την χρήση του uCareSystem
Αντίστοιχα σε CentOS χρησιμοποιούμε το yum
yum update
Δημιουργία νέου χρήστη
Μπορεί το VPS σας, πέρα από το root να σας δίνει έναν ακόμα χρήστη ή μπορεί και όχι. Σε κάθε περίπτωση είναι καλή πρακτική να δημιουργήσουμε έναν φρέσκο χρήστη και τον κωδικό του:
adduser onoma-xristi
Πέρα από τον κωδικό για τον νέο χρήστη θα ρωτήσει και άλλα διάφορα για αυτόν τον χρήστη, τα οποία είναι προαιρετικά και μπορείτε να τα προσπεράσετε πατώντας απλά enter.
Τέλος πρέπει να του δώσουμε δικαιώματα sudo
οπότε στο Ubuntu / Debian εκτελούμε:
gpasswd -a onoma-xristi sudo
ενώ στο CentOS η διαδικασία είναι:
adduser onoma-xristi passwd onoma-xristi gpasswd -a onoma-xristi wheel
Ωραία τώρα ο χρήστης που δημιουργήσατε, αν χρειαστεί ποτέ να εκτελέσει εντολές διαχείρισης, μπορεί να χρησιμοποιεί το sudo.
Πιστοποίηση με SSH κλειδί
Μέχρι στιγμής αλλάξαμε τον κωδικό στον root, δημιουργήσαμε έναν νέο χρήστη για να χρησιμοποιούμε μόνο αυτόν και όχι τον root και τώρα ήρθε η ώρα να ρυθμίσουμε τον server μας ώστε να μην δέχεται σύνδεση με χρήση κωδικού αλλά μόνο με την χρήση κλειδιού SSH. Όποιος (εσείς) έχει το κλειδί, μπαίνει… όλοι οι άλλοι … πόρτα…
Στον προσωπικό σας υπολογιστή, θα δημιουργήσουμε ένα ζεύγος Ιδιωτικού-Δημόσιου κλειδιού. Έπειτα το δημόσιο κλειδί θα το ανεβάσουμε στον Server και αφού πούμε στον server να μην δέχεται συνδέσεις με χρήση κωδικού, θα μπορείτε πλέον να συνδέεστε σε αυτόν μόνο εσείς που έχετε το ιδιωτικό κλειδί.
Δημιουργία Ζεύγους κλειδιών
Πάμε λοιπόν στο προσωπικό σας υπολογιστή, σε ένα δεύτερο τερματικό (δεν κλείνουμε το τερματικό στο οποίο είμαστε συνδεδεμένοι στον server) και εκτελέσετε:
ssh-keygen
θα δείτε στο τερματικό σας να λέει κάτι σαν το παρακάτω:
Generating public/private rsa key pair. Enter file in which to save the key (/home/onoma_xristi/.ssh/id_rsa):
Εκεί, αν θέλετε να κρατήσετε την διαδρομή (/home/onoma_xristi/.ssh/) και το όνομα (id_rsa) με τα οποία θα αποθηκευτεί το ιδιωτικό/δημόσιο κλειδί σας πατήστε απλά enter. Προσωπικά προτιμώ να του δίνω διαφορετικό όνομα στο αρχείο π.χ. sklavos1_rsa
Αφού πατήσετε Enter, θα σας ζητήσει να δώσετε ένα συνθηματικό το οποίο ασφαλίζει το Ιδιωτικό τμήμα του κλειδιού (αυτό που θα μείνει στον υπολογιστή σας). Μπορείτε να πατήσετε Enter για να μην δώσετε συνθηματικό, αν είστε σίγουροι ότι ο υπολογιστής σας, η το ιδιωτικό κλειδί δεν θα πέσει σε λάθος χέρια. Αν όμως είναι π.χ laptop ή υπολογιστής δουλειάς, καλό είναι να προσθέσετε και ένα συνθηματικό για το ιδιωτικό κλειδί ώστε μονο εσείς να μπορείτε να το χρησιμοποιήσετε.
Αντιγραφή του δημόσιου κλειδιού στον Server
Η παραπάνω λοιπόν διαδικασία θα δημιουργήσει ένα ιδιωτικό κλειδί id_rsa και ένα δημόσιο κλειδί id_rsa.pub, μέσα στον κρυφό φάκελο .ssh του προσωπικού σας καταλόγου. Φαντάζομαι, έχετε καταλάβει ότι το ιδιωτικό κλειδί δεν το μοιραζόμαστε με κανέναν.
Υπάρχουν 2 τρόποι για να μεταφέρουμε το δημόσιο κλειδί μας στον Server:
- Με το χέρι
- Αυτόματα
Αντιγραφή με το χέρι:
Ας δούμε πρώτα την διαδικασία «με το χέρι», για να κατανοήσουμε τι γίνεται και μετά θα δούμε τον αυτόματο.
Πάμε λοιπόν στο τερματικό που δημιουργήσαμε τα κλειδιά, όπου προβάλουμε το περιεχόμενο του δημόσιου κλειδιού:
gedit ~/.ssh/id_rsa.pub
θα ανοίξει ο κειμενογράφος Gedit με τα περιεχόμενα του αρχείου. Αν δεν χρησιμοποιείτε Gedit αλλά π.χ. άλλον editor, χρησιμοποιείστε αυτόν. Εναλλακτικά μπορείτε απλά να το προβάλετε στο ίδιο το τερματικό με την εντολή cat όπου θα δούμε κάτι σαν αυτό:
cat ~/.ssh/id_rsa.pub ssh-rsa MqkKCszIK9PbUhIROg5EBUTKgwqJr[....]9u9n437p0nuT50m5pQbRAg user@computer.local
Για λόγους ευκολίας προβάλω μόνο ένα τμήμα αυτού. Σημασία έχει λοιπόν όλο αυτό το πράγμα χωρίς να μας ξεφύγει κάτι να το αντιγράψουμε με δεξί κλικ στην προσωρινή μνήμη.
Πάμε τώρα στο τερματικό όπου ήμαστε ακόμα συνδεδεμένοι στον server και από χρήστες root θα συνδεθούμε με τον νέο χρήστη που είχαμε δημιουργήσει στο προηγούμενο βήμα:
su - onoma_xristi
αφού συνδεθούμε δημιουργούμε τον κρυφό φάκελο .ssh, αλλάζουμε τα δικαιώματα χρήσης του και έπειτα δημιουργούμε το αρχείο στο οποίο θα κάνουμε επικόλληση τα περιεχόμενα του δημόσιου κλειδιού που αντιγράψατε πριν λίγο. Πάμε λοιπόν:
mkdir .ssh chmod 700 .ssh nano .ssh/authorized_keys
Με την τελευταία εντολή, θα έχει ανοίξει το αρχείο autorized_keys στο οποί κάνουμε επικόλληση (πχ με CTRL+SHIFT+V) τα περιεχόμενα του αρχείου id_rsa.pub.
Αφού το κάνετε επικόλληση, πατήστε CTRL-X και κλείσιμο, το πλήκτρο Y για αποθήκευση και πατήστε ENTER για επιβεβαίωση. Τέλος περιορίζουμε και τα δικαιώματα χρήσης του αρχείου:
chmod 600 .ssh/authorized_keys
Τώρα μπορείτε να δώσετε exit στο τερματικό και να πατήσετε enter για να επιστρέψετε στο χρήστη root.
Αυτόματη αντιγραφή:
Εναλλακτικά για την αυτόματη αντιγραφή χρησιμοποιούμε την εντολή ssh-copy-id η οποία θα κάνει όλες τις παραπάνω ενέργειες (δημιουργία φακέλου, ρύθμιση δικαιωμάτων, αντιγραφή δημόσιου κλειδιού κλπ) αυτόματα. Η σύνταξη της εντολής έχει την εξής μορφή
ssh-copy-id -i onoma-xristi@H-IP-tou-Server
Άρα αν με το ssh-keygen έχουμε δημιουργήσει το ζεύγος κλειδιών με όνομα trollingvps_rsa το οποίο βρίσκεται στην διαδρομή /home/username/.ssh/
του προσωπικού μας υπολογιστή, τότε για να αντιγράψουμε το δημόσιο τμήμα του στον Server μας δίνουμε:
ssh-copy-id -i ~/.ssh/trollingvps_rsa.pub onoma-xristi@H-IP-tou-Server
με το που πατήσουμε enter θα ξεκινήσει η διαδικασία της μεταφοράς και θα μας ζητήσει τον κωδικό του που είχαμε φτιάξει νωρίτερα στον Server.
Απαγόρευση εισόδου με κωδικό αλλά και ως root
Μια και το όνομα χρήστη root
είναι ήδη γνωστό από όλους στον πλανήτη μας, όπως και οι «δύναμή» του, ήρθε η ώρα να πούμε στον server, ότι δεν θα δέχεσαι συνδέσεις που προσπαθούν να κάνουν χρήση του root αλλά ούτε και συνδέσεις με όνομα χρήστη και κωδικό.
Όπως είμαστε στο τερματικό με την ενεργή σύνδεση μας με τον χρήστη root ανοίγουμε το αρχείο /etc/ssh/sshd_config
:
nano /etc/ssh/sshd_config
και εντοπίζουμε την γραμμή PermitRootLogin yes και PasswordAuthentication yes και τα αλλάζουμε σε :
PermitRootLogin no
PasswordAuthentication no
Αφού τα αλλάξετε, πατήστε CTRL-X και κλείσιμο, το πλήκτρο Y για αποθήκευση και πατήστε ENTER για επιβεβαίωση.
Τέλος ενημερώνουμε τον server για τις αλλαγές με μια επανεκκίνηση της υπηρεσίας ssh:
systemctl reload sshd
Πριν κάνουμε εντελώς έξοδο από τον server, καλό είναι να ανοίξουμε ένα δεύτερο τερματικό και να συνδεθούμε στον server μας ώστε να επιβεβαιώσουμε ότι όλες οι ρυθμίσεις μας ήταν σωστές.:
Στο δεύτερο λοιπόν τερματικό πρώτα δοκιμάζουμε πάλι μια σύνδεση με τον root χρήστη όπου λογικά θα φάμε πόρτα:
ssh root@H-IP-tou-SERVER Permission denied (publickey).
Ωραία την φάγαμε την πόρτα μας, οπότε πάμε να συνδεθούμε με τον χρήστη που είχαμε δημιουργήσει και στον οποίο ΔΕΝ πρέπει να ζητήσει κωδικό σύνδεσης (εκτός ίσως από το συνθηματικό χρήσης του ιδιωτικού κλειδιού):
ssh onoma-xristi@H-IP-tou-SERVER onoma-xristi@vpserever:~$
Τέλεια, αν όλα έχουν πάει καλά είμαστε συνδεδεμένοι με τον λογαριασμό του χρήστη που είχαμε δημιουργήσει.
Αλλαγή πρόσβασης στην… πόρτα του ssh
Πάμε τώρα να αλλάξουμε και την θύρα σύνδεσης στην SSH, μιας και η εξορισμού είναι η 22 και την ξέρει και η κυρα Χάιδω από το Κοτρονίτση.
Τώρα που ήμαστε συνδεδεμένοι με τον νέο λογαριασμό θα χρησιμοποιήσουμε sudo για τις εργασίες διαχείρισης.
sudo nano /etc/ssh/sshd_config
και εντοπίζουμε την γραμμή που λέει Port 22 και τον αριθμό 22 τον αλλάζουμε σε κάτι ανάμεσα σε 49152–65535 τα οποία θεωρητικά είναι ελεύθερα για χρήση. Αφού τα αλλάξετε με έναν αριθμό τις επιλογής σας (απλά πρέπει να τον θυμάστε), πατήστε CTRL-X και κλείσιμο, το πλήκτρο Y για αποθήκευση και πατήστε ENTER για επιβεβαίωση.
Για να ενεργοποιήσουμε τις αλλαγές δίνουμε:
sudo systemctl reload sshd
Αν τώρα κάνουμε έξοδο/αποσύνδεση από τον server με exit και προσπαθήσουμε να συνδεθούμε με τον κλασσικό τρόπο:
ssh onoma-xristi@H-IP-tou-SERVER ssh: connect to host port 22: Connection refused
θα φάμε τα μούτρα μας στον τοίχο αφού αλλάξαμε την «θέση της πόρτας». Με λίγα λόγια, είναι πλέον από αλλού η είσοδος και η θέση της πόρτας. Οπότε για να συνδεθούμε πρέπει να δηλώσουμε ποια ήταν η πόρτα στην οποία «ακούει» η υπηρεσία SSH:
ssh onoma-xristi@H-IP-tou-SERVER -p XXXXXX
όπου XXXXX βάζετε τον αριθμό με τον οποίο αντικαταστήσατε το 22 στην γραμμή Port στο αρχείο /etc/ssh/sshd_config… (μην μου πείτε ότι δεν θυμάστε…)
Τα παραπάνω είναι οι απαραίτητες πρώτες ρυθμίσεις για το ssh. Περισσότερα μπορείτε να κάνετε ακολουθώντας τον παρακάτω οδηγό:
Firewall
Ας σηκώσουμε και ένα ωραιότατο τοίχος προστασίας στα τελευταία λεπτά που μας έμειναν. Αυτή την στιγμή η μόνη υπηρεσία που τρέχει το VPS μας είναι το SSH σε μια πόρτα που το έχουμε ορίσει στο αρχείο /etc/ssh/sshd_config
.
Στο Debian και Ubuntu θα χρησιμοποιήσουμε το Uncomplicated FireWall :
sudo ufw allow XXXXΧ/tcp
ενώ στο CentOS το Firewall CMD:
sudo firewall-cmd --add-port XXXXX/tcp --permanent
όπου XXXXX βάζετε όπως είπαμε την νέα θύρα που ακούει η υπηρεσία SSH. Η παραπάνω εντολή λέει στο Firewall, να επιτρέπεις σύνδεση μόνο αν σου ζητήσω την πόρτα XXXXX όλα τα άλλα να τα έχεις κλειστά…
Με λίγα λόγια μόνο η πόρτα XXXXX είναι ενεργή, όλες οι άλλες μπλοκάρονται με το καλημέρα. Αν κάποια στιγμή θελήσετε να τρέχετε μια ιστοσελίδα (π.χ. port 80) ή κάποια άλλη web εφαρμογή να θυμάστε απλά να ενεργοποιήσετε την πόρτα που χρειάζεστε.
Περίφημα, τώρα μπορούμε να ενεργοποιήσουμε το Firewall στο Ubuntu / Debian:
sudo ufw enable
ή στο CentOS:
sudo systemctl enable firewalld
Ρύθμιση αυτόματων ενημερώσεων
Μπορούμε στα γρήγορα να ενεργοποιήσουμε τις αυτόματες ενημερώσεις για να λαμβάνει το VPS μας όλες τις ενημερώσεις που διορθώνουν κενά ασφαλείας του λειτουργικού συστήματος και να έχουμε το κεφάλι μας ήσυχο.
Αυτόματες ενημερώσεις ασφαλείας Debian και Ubuntu
Στο Debian και Ubuntu οι αυτόματες εγκαταστάσεις διορθώσεων για κενά ασφαλείας μπορούν να ενεργοποιηθούν με χρήση και ρύθμιση του πακέτου «unattended-upgrades» για το οποίο μπορείτε να διαβάσετε στο άρθρο : Πως να ενεργοποιήσετε τις αυτόματες ενημερώσεις συστήματος. Εδώ απλά θα σημειώσουμε τα βασικά στοιχεία:
- επιβεβαιώστε ότι το πακέτο unattended-upgrades είναι εγκατεστημένο
- ανοίξτε το αρχείο /etc/apt/apt.conf.d/10periodic με τον nano η vim και τροποποιείστε το κατάλληλα
APT::Periodic::Update-Package-Lists "1"; APT::Periodic::Download-Upgradeable-Packages "1"; APT::Periodic::AutocleanInterval "7"; APT::Periodic::Unattended-Upgrade "1";
Αποθηκεύστε το και κλείστε το αρχείο.
Αυτόματες ενημερώσεις ασφαλείας στο CentOS
Στο CentOS οι αυτόματες εγκαταστάσεις διορθώσεων για κενά ασφαλείας του λειτουργικού συστήματος μπορούν να ενεργοποιηθούν με χρήση και ρύθμιση του πακέτου «yum-cron»
- Το κάνετε εγκατάσταση:
yum -y install yum-cron
- έπειτα ανοίγετε το αρχείο
/etc/yum/yum-cron.conf
με τον nano η vim και τροποποιείστε κατάλληλα τις γραμμές:
update_cmd = security update_messages = yes download_updates = yes apply_updates = yes
Αφού το αποθηκεύσετε και κλείστε το αρχείο, θα πρέπει να ενεργοποιήσετε την υπηρεσία με:
sudo systemctl start yum-cron
Επίλογος
Με όλες τις παραπάνω ενέργειες εντός περίπου 10 λεπτών έχουμε εφαρμόσει βασικές ρυθμίσεις ασφάλειας:
- Αλλαγή password root
- Δημιουργία χρήστη και ανάθεση δικαιωμάτων διαχειριστή με sudo
- Πιστοποίηση μόνο με κλειδί SSH και αλλαγή θύρας SSH
- Ρύθμιση βασικού Firewall
- Ρύθμιση αυτόματων ενημερώσεων για κενά ασφαλείας
Ίσως, είναι καλή ιδέα να κάνουμε μια επανεκκίνηση τον server μας ή και να δημιουργήσουμε ένα snapshot αυτού μέσα από το Panel που μας δίνει ο πάροχος του VPS μας. Από εδώ και πέρα κάθε επιπρόσθετη υπηρεσία που θα προσθέτουμε στον Server μας θα πρέπει να συνοδεύεται από και από τις κατάλληλες ρυθμίσεις ασφαλείας.
Εξαιρετικά χρήσιμο και γραμμένο απλά και κατανοητά.
Για κάποιον που θέλει να πειραματιστεί και μόνο, υπάρχουν δωρεάν αξιόπιστες λύσεις vps?
Δωρεαν λύση απο οσο ξερω μονο αν εισαι φοιτητης η ακαδημαικος γενικοτερα απο τον ~okeanos https://okeanos.grnet.gr/home/ η υπηρεσια Cyclades ειναι τρομερη!
Το γνωρίζω το okeanos και το έχω χρησιμοποιήσει αλλά ισχύει όσο είσαι φοιτητής η υπηρεσία από όσο ξέρω.
Ναι δυστυχώς και ειναι πολυ καλη υπηρεσια! :P
για πειραματισμούς ναι υπάρχουν αρκετοί VPS που είναι free. Είναι φυσικά για χρήση deploy -test – destroy και όχι για χρήση production server
Δηλαδή Salih μόνο για να παίξεις, να μάθεις και να ψηθείς να πάρεις επί πληρωμή αν ενδιαφέρεσαι;
Καλησπέρα, ωραίος και κατανοητός οδηγός.
Κάποιες προτάσεις για το από που να αγοράσουμε τον VPS θα ήταν ευπρόσδεκτες.
Επειδή δεν είναι πρέπον να διαφημίζουμε, αλλά και ο καθένας μπορεί να λέει το μακρύ και το κοντό του, αν θέλεις μπορείς να χρησιμοποιήσεις την «επικοινωνία» για να σου στείλω 1-2 που έχω στο μυαλο μου
Θα ήταν καλύτερα και αν έβαζες ένα reference στο original άρθρο…
Αν μπορείς να μου το δώσεις μιας και έκατσα σα χαζός 5 μέρες με 15 εικονικά VPS για δοκιμές μέχρι να το βγάλω θα σου ήμουν υπόχρεος, αφού αν δεις σε όλα τα άρθρα τα οποία έχω χρησιμοποιήσει στοιχεία έχω πηγή από κάτω.
Ευχαριστώ για τον χρόνο σου
http://www.codelitt.com/blog/my-first-10-minutes-on-a-server-primer-for-securing-ubuntu/
Δεν νομίζω ότι το άρθρο που έστειλες είναι το ίδιο. Ίσα ίσα έχει άλλα στοιχεία μέσα. Εκτός από την 1η..παράγραφο.
Δυστυχώς Κωνσταντίνε, είναι σα να μου ζητάνε να αποδείξω ότι η το Linux είναι πυρήνας και ότι το Ubuntu και τα άλλα είναι διανομές…. Μιλάμε πρώτη φορά απο το 2009 που αρθρογραφώ, μου ζητάνε να αποδείξω ότι «δεν έχω κλέψει κοινή γνώση (common knowledge)».
Με άλλα λόγια τι να αποδείξω…. ότι μόνο εγώ ξέρω ποια είναι η σειρά με την οποία ξεκινάς αν «κλειδώνεις» έναν server ? Όπου και να διαβάσεις, είναι κοινή γνώση αυτό το πράγμα.
Τι να πω… καλή καρδιά και αγάπη μόνο :P
Νομίζω ότι έγκειται στην διακριτική ευχέρεια (αλλά και τη νοημοσύνη) του καθενός να διαπιστώσει αν αναπαράγονται άρθρα στο cerebrux ή γίνεται πραγματική έρευνα πριν τη συγγραφή. Το ότι ένας τίτλος μοιάζει δε σημαίνει ότι το άρθρο είναι μεταφρασμένο ή copy paste. Μια βόλτα στην πιάτσα αυτών των sites (για linux tutorials και ειδικού περιεχομένου) ξεκαθαρίζει την ήρα από το σιτάρι και μάλιστα εκεί να δεις μερικούς-μερικούς τι κλόπη-paste χωρίς πηγές χωρίς τίποτα κάνουνε (ειδικά σε κάποια ελληνικά sites που είδαν ότι τώρα έχει «ψωμί» το linux το ΕΛ/ΛΑΚ και ΤΑ ubuntu).
πολυ ωαραιο βοηθημα…. αν εχεις χρονο δειξε μας και πως στηνεις εναν σερβερ…
Αν μπορείς να το κάνεις πιο συγκεκριμένα για να μπορέσω να βοηθήσω ?
Σαν αυτά που έχω ξεκινήσει για home server ? Η κάτι διαφορετικό ?
Καλησπέρα και από μένα. Πολύ ωραίος ο οδηγός!
Στο κομμάτι του στησίματος που αναφέρει ο @xargr θα πρότεινα ένα δεύτερο μέρος με οδηγίες για το πως ασφαλίζουμε το AMP κομμάτι (Apache-MySQL-PHP) καθότι είναι πολύ δημοφιλή τα CMS που βασίζονται σε αυτά. Ευχαριστώ!
Λογικό μου ακούγεται απλώς το ζήτημα είναι οτι το να γράψεις ένα άρθρο για το AMP (ή μάλλον άρθρα) θα είναι κάτι πολύ γενικό και υπάρχει κίνδυνος παρερμηνειών.
Με λίγα λόγια, δεν υπάρχει απόλυτη ασφάλεια.. απλώς προσπαθείς να μειώσεις όσο το δυνατών τις πιθανότητες να «φας» επίθεση.
Αυτό που θα μπορούσε να γίνει, είναι να δείξουμε πως διασφαλίζεις ένα CMS μαζί και το AMP του σε σχέση με το CMS και όχι απλά και γενικά το AMP. Mιας και αυτό έχεις σημασία.
Χρήσιμο Αρθράκι φίλτατε!~
Ευχαριστώ φιλτατε
Καλησπέρα, πάρα πολύ καλό το άρθρο σου, μπράβο!
Θα ήθελα να ρωτήσω αν πέρα από τις παραπάνω ρυθμίσεις που αναφέρεις, θα μπορούσαν να εφαρμοστούν hardware επιπρόσθετες δικλείδες ασφαλείας όπως πχ. ένα δεύτερο router ή ένα switch πριν «βγει» ο server στον έξω κόσμο;
Πολλά μπορούν να γίνουν αλλά αυτά δεν χωράνε στα πρώτα 10 λεπτά που πρέπει να κάνεις την βασική δουλειά.
Το άρθρο είναι ανεξάρτητο από το αν ο server είναι μέσα σε εταιρεία ή αν είναι hosted. Οπότε φυσικά όταν είναι μέσα στην εταιρεία πρέπει να γίνουν επιπλέον ρυθμίσεις
Καλησπέρα και πάλι.
Όχι, δεν εννοούσα για εταιρικό στήσιμο, αλλά για έναν home server.
Θα μπορούσαμε για παράδειγμα να μην συνδέσουμε τον server – raspberry στο router που βγαίνει προς τα έξω, αλλά σε ένα άλλο, δεύτερο, σε διαφορετικό subnet;
Κερδίζουμε κάτι ή προκαλούμε μεγαλύτερη σύγχυση στις υπηρεσίες/εφαρμογές του server;
Ούτε κερδίζεις κάτι ούτε προκαλείται κάτι. Εφόσον το raspberry pi θα πρέπει να έρχεται σε επαφή με το internet, δεν έχει σημασία αν είναι σε subnet.
Καλημέρα,
Ευχαριστώ!
Τίποτα ! Ότι απορίες έχεις εδώ είμαστε ;)
Γινεται να φτιαχτει ενας server που θα χρησιμοποιειται μονο απο δυο ατομα για επικοινωνια και να ναι οσο πιο ασφαλες γινεται;Μεσω δυο υπολογιστων,laptop dell 3ης γενιας και λαπτοπ acer και desktop με Ryzer,αλλα στοιχεια δεν εχω.Δωρεαν υποψην.Και απλος.
Ποιο από τα δυο θα αναλάβει τον ρόλο του server και ποιες λειτουργίες θα αναλάβει ;
Δεν ξερω πολλα απ αυτα ειναι μια νεα προσπαθεια απο εμενα και ενα φιλο,ο φιλος ξερει πιο πολλα θα του πω αν ειναι να ρωτησει δυο πραγματα εδω,αλλα για μενα μηπως ειναι καλυτερο να μοιραστει η δυναμη του ενος και του αλλου;Δηλαδη να ειναστε και οι δυο ενεργοι servers μην μας κολλαει συνεχεια ας πουμε.Η δεν γινεται να μαστε και οι δυο ενεργοι servers;Και θα χρειαστουμε αναγκαστικα static ip?
Μάλλον σου λείπουν κάποιες βασικές γνώσεις πάνω στα server & έχεις μπερδέψει κάποια ζητήματα χρήσης τους. Θα χαρώ να έρθει ο φίλος να ρωτήσει ότι θέλει και θα προσπαθήσω να απαντήσω