Absicherung eines Linux-Webservers für den öffentlichen Zugang

Question

Ich möchte einen billigen Linux-Rechner als Webserver einrichten, um eine Reihe von Webtechnologien zu hosten (PHP und Java EE kommen mir in den Sinn, aber ich möchte in Zukunft auch mit Ruby oder Python experimentieren).

Ich kenne mich mit der Einrichtung von Tomcat unter Linux für die Bereitstellung von Java EE-Anwendungen recht gut aus, aber ich würde diesen Server gerne öffnen, und sei es nur, um einige Tools zu erstellen, die ich während meiner Arbeit im Büro verwenden kann. Alle Erfahrungen, die ich mit der Konfiguration von Java EE-Sites gemacht habe, betrafen Intranet-Anwendungen, bei denen wir uns nicht auf die Sicherung der Seiten für externe Benutzer konzentrieren sollten.

Was raten Sie, um einen persönlichen Linux-Webserver so sicher einzurichten, dass er für externen Datenverkehr zugänglich ist?

Answer 1

Es ist sicher, wenn Sie sich nicht zu laut äußern (d.h., es wird kaum jemand hinter Ihrem Heimserver her sein, wenn Sie nur ein glorifiziertes Webroot auf einer Heimverbindung hosten) und wenn Sie sich über Ihre Konfiguration im Klaren sind (d.h., vermeiden Sie es, Root für alles zu verwenden, stellen Sie sicher, dass Sie Ihre Software auf dem neuesten Stand halten).

In diesem Sinne, auch wenn dieser Thread möglicherweise zu einem reinen Flaming-Thread verkommen wird, ist mein Vorschlag für Ihren persönlichen Server, bei Ubuntu zu bleiben ( Ubuntu Server erhalten Sie hier ); meiner Erfahrung nach erhält man am schnellsten Antworten, wenn man Fragen in Foren stellt (ich bin mir allerdings nicht sicher, was man über die Akzeptanz sagen kann).

Die Sicherheit meines Heimservers profitiert übrigens davon, dass er keine statische IP hat (er läuft über DynDNS).

Viel Glück!

/mp

Answer 2

Seien Sie vorsichtig, wenn Sie den SSH-Port für die freie Wildbahn öffnen. Wenn Sie dies tun, stellen Sie sicher, dass Sie Root-Logins deaktivieren (Sie können jederzeit su o sudo wenn Sie erst einmal drin sind) und ziehen Sie im Rahmen des Möglichen aggressivere Authentifizierungsmethoden in Betracht. An einem Wochenende sah ich in meinen Serverprotokollen einen riesigen Wörterbuchangriff auf meinen SSH-Server von einem DynDNS-Heim-IP-Server aus.

Abgesehen davon ist es wirklich großartig, von der Arbeit oder von unterwegs auf die eigene Shell zuzugreifen... und wenn man dann noch die Tatsache hinzunimmt, dass man SFTP über denselben Port nutzen kann, könnte ich mir ein Leben ohne sie nicht mehr vorstellen =)

Answer 3

Sie könnten eine EC2-Instanz von Amazon . Auf diese Weise können Sie einfach "Dinge" testen, ohne die Produktion zu stören. Und Sie zahlen nur für den Platz, die Zeit und die Bandbreite, die Sie nutzen.

Answer 4

Wenn Sie einen Linux-Server von zu Hause aus betreiben, installieren Sie ossec für ein schönes, leichtes IDS, das wirklich gut funktioniert.

[EDIT]

Nebenbei bemerkt: Stellen Sie sicher, dass Sie nicht gegen die Nutzungsbedingungen Ihres Internetanbieters verstoßen. y dass sie eingehende Verbindungen auf Standardports zulassen. Bei dem ISP, für den ich früher gearbeitet habe, stand in den Geschäftsbedingungen, dass man vom Netz getrennt werden kann, wenn man Server über Port 80/25 betreibt, es sei denn, man hat ein Business-Class-Konto. Wir haben diese Ports zwar nicht aktiv blockiert (es war uns egal, solange es keine Probleme verursachte), aber einige ISPs lassen keinen Datenverkehr über Port 80 oder 25 zu, so dass Sie alternative Ports verwenden müssen.

Answer 5

Wenn Sie dies tun wollen, geben Sie etwas Geld aus und kaufen Sie zumindest einen dedizierten Router/Firewall mit einem separaten DMZ-Port. Sie sollten Ihr internes Netzwerk von Ihrem Server durch eine Firewall abtrennen, damit Ihr internes Netzwerk nicht sofort angreifbar ist, wenn (nicht wenn!) Ihr Webserver kompromittiert wird.