Päätin äskettäin, että oli aika laittaa kaikki webhotellia vaativat projektini yhteen palvelimeen. Palvelin, joka se antaisi minulle hallinnan tason, jota normaalit isännöintisuunnitelmat eivät tee.
Toki se tarkoittaa Minun on huolehdittava asioista, jotka olivat aiemmin palveluntarjoajani vastuulla. Esimerkiksi tietoturva ja päivitykset.
Ubuntu-palvelimen suojaaminen. Palomuurin määrittäminen
Palomuuri tai palomuuri on ohjelmistotyökalu, joka valvoo verkkoliikennettä kiinnittäen huomiota datapaketteihin, jotka yrittävät päästä sisään tai poistua. Se tekee niin soveltamalla ennalta määritettyjä turvallisuussääntöjä ja määrittää, mitkä voivat tehdä sen.
Käytännössä se on eräänlainen rajavartiolaite palvelimen ja Internetin välillä ja estää luvattomien henkilöiden tai haittaohjelmien pääsyn alueelle.
Virtuaalisissa yksityisissä palvelimissa (palveluntarjoajasta riippuen) meillä on kaksi vaihtoehtoa; ulkoinen palomuuri, jonka sääntöjä hallitaan ohjauspaneelista, tai sisäinen palomuuri. Tiedossa olevat suosittelevat aina kun mahdollista työskentelemään ulkopuolisen kanssa.
Ubuntu käyttää oletuksena sisäisenä palomuurina ohjelmaa nimeltä yksinkertainen palomuuri. Voimme nähdä, toimiiko se komennon kanssa
sudo ufw status
Jos sitä ei ole asennettu, voimme tehdä sen komennolla:
sudo apt install ufw
Voit käynnistää palomuurin tällä ohjeella:
sudo ufw enable
Päivitysten automatisointi
LivePatchin aktivointi
LivePatch on Canonicalin palvelu, joka kehittää Ubuntua ja on yksinomaan tälle jakelulle. Muistutan, että näiden artikkeleiden perustana on virtuaalinen yksityinen palvelin, joka käyttää Ubuntu 20.04 -palvelinversiota.
LivePatchin suuri etu on se sallii tietoturvakorjausten soveltamisen Linux-ytimeen käynnistämättä palvelinta uudelleen. Tehdään se selväksi. LivePatch lisää korjauksia nykyiseen ytimeen. Jos päivität uuteen ytimeen, sinun on käynnistettävä uudelleen.
Palvelu on saatavilla ilmaiseksi Ubuntun laajennetuille tukiversioille.
Aktivoimiseksi tarvitset tunnuksen mihin voit mennä tällä sivulla. Varmista, että Ubuntun käyttäjävaihtoehto on valittu (ellet halua maksaa kaupallisesta tuesta) ja napsauta Hanki LivePatch-tunnuksesi.
Seuraava näyttö kysyy, onko sinulla Ubuntu One -tili, jos et, se antaa sinulle mahdollisuuden luoda tili.
Kun kirjaudut sisään, se näyttää tilisi tunnuksen ja kertoo, mitkä komennot sinun on kirjoitettava. Komennot ovat:
sudo apt install snapd
sudo snap install canonical-livepatch
sudo canonical-livepatch enable tu_token
Huomaa, että tunnusta voidaan käyttää ilmaiseksi vain kolmella koneella.
Tarkista työkalun tila seuraavien ohjeiden avulla:
sudo canonical-livepatch status
Pakota uusien päivitysten tarkistaminen kirjoittamalla:
sudo canonical-livepatch refresh
Palvelimen suojaaminen valvomattomilla automaattisilla päivityksillä
Kun aloin tehdä verkkosivustoja, Käytin avoimen lähdekoodin sisällönhallintaohjelmaa, jota oli vasta kehitteillä, ja myöhemmin oppinut hosting-palvelujen tarjoaja oli seikkailija. Eräänä päivänä, kun olin nukkunut huonosti, tein sen, mitä en koskaan tee. Torkut. Noissa kahdessa tunnissa joku käytti hyväkseen projektin haavoittuvuutta, kokemuksen puuttumistani ja hosting-palvelujen tarjoajan vakavuuden puutetta iLisätään väärennetty sivu sivustolleni varastamaan tietoja Bank Of America -asiakkailta. Vakuutan teille, että BOA ei ota sellaisia asioita kovin hyvin.
Tämän moraali on se Joko sinulla on joku koko päivän ajan tarkkailemassa palvelinta, ilmoituksia turvallisuusongelmista ja uusien sovellusten versioiden saatavuudesta, tai etsit tapaa automatisoida ongelma.
Onneksi Ubuntun kehittäjät sisälsivät korjauksen
Sen määrittämisen vaiheet ovat seuraavat.
Varmistamme, että järjestelmä on ajan tasalla:
sudo apt update
sudo apt upgrade
Asennamme tarvittavat ohjelmat
sudo apt install unattended-upgrades apt-listchanges bsd-mailx
Valitse avautuvassa ikkunassa Ei määrityksiä
Käynnistämme sovelluksen
sudo dpkg-reconfigure -plow unattended-upgrades
Napsauta avautuvassa ikkunassa hyväksyäksesi automaattiset päivitykset.
Nyt meidän on määritettävä joitain asioita.
Kirjoittaa:
sudo nano /etc/apt/apt.conf.d/50unattended-upgrades
Painamalla CTRL + W etsii tätä riviä Valvomaton päivitys :: Mail
Ja täydennä sähköpostiosoitteesi.
Etsi sitten tämä rivi Valvomaton päivitys :: Automaattinen uudelleenkäynnistys
Ja varmista, että se on totta. Tämän avulla järjestelmä voidaan käynnistää automaattisesti uudelleen tarvittaessa.
Paina CTRL + X ja hyväksy muutokset.
Nyt kirjoita:
sudo nano /etc/apt/listchanges.conf
CTRL + W-näppäimillä etsi epostiosoite ja toista aiemmin antamasi osoite.
Tallenna painamalla CTRL + X ja hyväksy, että teen sen muutoksilla.
Testaa kokoonpano
sudo unattended-upgrades --dry-run