Quais são as práticas recomendadas para proteger meu servidor Linux em execução no Lightsail?

Data da última atualização: 28/10/2021

Sou administrador de sistemas de instâncias do Amazon Lightsail que executam o Linux. Quais são algumas das práticas recomendadas de segurança do servidor que posso usar para ajudar a proteger meus dados?

Resolução

Veja a seguir estão as práticas recomendadas básicas de segurança para servidores Linux. Embora estas sejam considerações importantes para a segurança do servidor Linux, lembre-se de que essa não é uma lista completa. Há muitas configurações complexas que devem ser feitas e abordadas pela equipe de administradores do sistema local com base nos seus requisitos específicos e casos de uso.

  • Criptografe a comunicação de dados de e para o seu servidor Linux.
    Use SCP, SSH, rsync ou SFTP para transferências de arquivos. Evite usar serviços como FTP, Telnet e assim por diante, pois eles não são seguros. Para manter uma conexão segura (HTTPS), instale e configure um certificado SSL no seu servidor.
  • Minimize os softwares para reduzir a vulnerabilidade no Linux e realizar auditorias de segurança regularmente.
    Não instale softwares desnecessários, para evitar a introdução de vulnerabilidades de softwares ou pacotes. Se possível, identifique e remova todos os pacotes indesejados.
  • Mantenha o kernel e o software do Linux atualizados.
    A aplicação de patches de segurança é uma parte importante da manutenção do servidor Linux. O Linux fornece todas as ferramentas necessárias para manter seu sistema atualizado. O Linux também permite atualizações fáceis entre versões. Revise e aplique todas as atualizações de segurança o mais rápido possível e certifique-se de atualizar para o kernel mais recente disponível. Use os respectivos gerenciadores de pacotes com base nas suas distribuições do Linux, como yum, apt-get ou dpkg, para aplicar todas as atualizações de segurança.
  • Use extensões de segurança do Linux.
    O Linux vem com vários recursos de segurança que você pode usar para se proteger contra programas mal configurados ou comprometidos. Se possível, use o SELinux e outras extensões de segurança do Linux para impor limitações na rede e em outros programas. Por exemplo, o SELinux fornece uma variedade de políticas de segurança para o kernel do Linux.
  • Desative o login root.
    É uma prática recomendada não fazer login como usuário root. Você deve usar o sudo para executar comandos de nível root quando necessário. O sudo aumenta muito a segurança do sistema sem compartilhar as credenciais com outros usuários e administradores.
  • Encontre portas de rede de escuta usando SS ou netstat e feche ou restrinja todas as outras portas.
    É importante prestar atenção às portas que estão ouvindo nas interfaces de rede do sistema. Isso pode ser feito por meio de ss ou netstat. Qualquer porta aberta pode ser evidência de uma invasão.
  • Configure o firewall do Lightsail e os firewalls no nível do SO em servidores Linux para obter um nível adicional de segurança.
    Use o firewall do Lightsail para filtrar o tráfego e permitir apenas o tráfego necessário para o servidor. O firewall no nível do sistema operacional é uma aplicação de espaço do usuário que permite configurar os firewalls fornecidos pelo kernel do Linux. Você pode usar iptables, ufw, firewalld e assim por diante, dependendo da sua distribuição Linux.
  • Use auditd para contabilidade do sistema.
    O Linux fornece auditd para auditoria do sistema. Auditd grava registros de auditoria no disco. Ele também monitora várias atividades do sistema, como logins do sistema, autenticações, modificações de conta e negações do SELinux. Esses registros ajudam os administradores a identificar atividades mal-intencionadas ou acesso não autorizado.
  • Instale um sistema de detecção de intrusão (IDS).
    Use fail2ban ou denyhost como IDS. Fail2ban e denyhost verificam os arquivos de log em busca de muitas tentativas de login com falha e bloqueiam o endereço IP que está mostrando sinais de atividade mal-intencionada.
  • Crie backups regularmente.
    Para obter mais informações, consulte os Snapshots no Amazon Lightsail.
  • Evite fornecer permissões de leitura, gravação e execução (777) para arquivos e diretórios para usuários, grupos e outros.
    Você pode usar chmod para restringir o acesso a arquivos e diretórios, como o diretório web-root, document-root e assim por diante. Edite as permissões para fornecer acesso somente a usuários autorizados.