Недавно я решил, что пришло время собрать все мои проекты, для которых требуется веб-хостинг, на одном сервере. Сервер, который это позволило бы мне иметь уровень контроля, которого нет в обычных планах хостинга.
Конечно, это означает Я тот, кто должен заботиться о вещах, которые ранее входили в сферу ответственности моего поставщика. Например, безопасность и обновления.
Обеспечение безопасности сервера Ubuntu. Настройка межсетевого экрана
Брандмауэр или брандмауэр - это программный инструмент, который контролирует сетевой трафик, обращая внимание на пакеты данных, пытающиеся войти или покинуть. Он делает это, применяя заранее установленные правила безопасности и определяя, какие из них могут это сделать.
На практике это своего рода пограничник между сервером и Интернетом, который предотвращает проникновение посторонних лиц или вредоносного программного обеспечения.
В виртуальных частных серверах (в зависимости от провайдера) у нас будет два варианта; внешний брандмауэр, правила которого управляются с панели управления, или внутренний брандмауэр. Знающие люди рекомендуют по возможности работать с посторонним.
Ubuntu по умолчанию использует программу под названием Uncomplicated Firewall в качестве внутреннего брандмауэра. Мы можем увидеть, работает ли он с помощью команды
sudo ufw status
Если он не установлен, мы можем сделать это с помощью команды:
sudo apt install ufw
Вы можете запустить брандмауэр с помощью этой инструкции:
sudo ufw enable
Автоматизация обновлений
Активация LivePatch
LivePatch - это сервис от Canonical, компании, которая разрабатывает Ubuntu, и является эксклюзивным для этого дистрибутива.. Напоминаю, что для этих статей мы используем виртуальный частный сервер, на котором запущена серверная версия Ubuntu 20.04.
Большим преимуществом LivePatch является то, что Позволяет применять исправления безопасности к ядру Linux без перезагрузки сервера.. Давайте проясним. LivePatch применяет исправления к текущему ядру. Если вы перейдете на новое ядро, вам придется перезагрузиться.
Услуга доступна бесплатно для версий с расширенной поддержкой Ubuntu.
Для его активации вам понадобится токен к чему ты можешь пойти эта страница. Убедитесь, что выбран вариант пользователя Ubuntu (если вы не хотите платить за коммерческую поддержку), и нажмите Получите свой токен LivePatch.
На следующем экране вас спросят, есть ли у вас учетная запись Ubuntu One, а если нет, вы сможете ее создать.
Когда вы входите в систему, он показывает вам токен вашей учетной записи и сообщает вам, какие команды вы должны ввести. Команды:
sudo apt install snapd
sudo snap install canonical-livepatch
sudo canonical-livepatch enable tu_token
Обратите внимание, что токен можно использовать бесплатно только на трех машинах.
Используйте эту инструкцию, чтобы проверить статус инструмента:
sudo canonical-livepatch status
Чтобы принудительно проверить наличие новых обновлений, введите:
sudo canonical-livepatch refresh
Обеспечение безопасности сервера с помощью автоматических автоматических обновлений
Когда я начал делать сайты, Я использовал менеджер контента с открытым исходным кодом, который только начинал развиваться, а хостинг-провайдер, который, как я позже узнал, был авантюристом.. Однажды, когда я плохо спал, я сделал то, чего никогда не делал. Nap. За эти два часа кто-то воспользовался уязвимостью в проекте, моим отсутствием опыта и несерьезностью хостинг-провайдера к i.Размещение поддельной страницы на моем сайте для кражи данных клиентов Bank Of America. Уверяю вас, что BOA не очень хорошо переносит такие вещи.
Мораль в том, что Либо у вас есть кто-то, кто весь день следит за сервером, уведомляет о проблемах безопасности и наличии новых версий приложений, либо вы ищете способ автоматизировать проблему.
К счастью, разработчики Ubuntu включили исправление
Шаги по настройке следующие.
Мы проверяем актуальность системы:
sudo apt update
sudo apt upgrade
Устанавливаем необходимые программы
sudo apt install unattended-upgrades apt-listchanges bsd-mailx
В открывшемся окне выберите Нет конфигурации.
Запускаем приложение с
sudo dpkg-reconfigure -plow unattended-upgrades
В открывшемся окне нажмите, чтобы принять автоматические обновления.
Теперь нам нужно кое-что настроить.
Он пишет:
sudo nano /etc/apt/apt.conf.d/50unattended-upgrades
Нажатие CTRL + W ищет эту строку Автоматическое обновление :: Почта
И укажите свой адрес электронной почты.
Тогда ищите эту строку Автоматическое обновление :: Автоматическая перезагрузка
И убедитесь, что это правда. Это позволяет системе автоматически перезагружаться при необходимости.
Нажмите CTRL + X и согласитесь сохранить изменения.
Теперь пиши:
sudo nano /etc/apt/listchanges.conf
С помощью CTRL + W найдите eПочта Адрес и повторите адрес, который вы указали ранее.
Сохраните с помощью CTRL + X и согласитесь, что я сделаю это с изменениями.
Протестируйте конфигурацию с помощью
sudo unattended-upgrades --dry-run