我最近决定,是时候将我所有需要网络托管的项目放到一台服务器上了。 一台服务器 这将使我可以控制普通托管计划没有的控制水平。
当然,这意味着 我是必须照顾以前由我的提供者负责的事情的人。 例如,安全性和更新。
使Ubuntu服务器安全。 配置防火墙
防火墙或防火墙是一种软件工具,它可以 监视网络流量,注意试图进入或离开的数据包。 它通过应用预先建立的安全规则并确定可以执行的规则来做到这一点。
实际上,它是服务器和Internet之间的一种边界防护,可以确保防止未经授权的人员或恶意软件进入。
在虚拟专用服务器(取决于提供程序)中,我们将有两个选择: 从控制面板管理规则的外部防火墙或内部防火墙。 有识之士建议您尽可能与局外人合作。
默认情况下,Ubuntu使用名为“未复杂防火墙”的程序作为其内部防火墙。 我们可以查看它是否与命令一起使用
sudo ufw status
如果尚未安装,则可以使用以下命令执行此操作:
sudo apt install ufw
您可以按照以下说明启动防火墙:
sudo ufw enable
自动更新
激活LivePatch
LivePatch是Canonical的一项服务,该公司开发Ubuntu,并且是该发行版的专有产品。 我提醒您,对于这些文章,我们基于运行服务器版本Ubuntu 20.04的虚拟专用服务器。
LivePatch的最大优点是 允许将安全补丁程序应用到Linux内核,而无需重新启动服务器。 让我们说清楚。 LivePatch将修补程序应用于当前内核。 如果升级到新内核,则必须重新引导。
该服务可免费获得Ubuntu扩展支持版本。
要激活它,您将需要一个令牌 你能去做什么 这一页。 确保选择了Ubuntu用户选项(除非您想付费获得商业支持),然后单击 获取您的LivePatch令牌。
下一个屏幕询问您是否拥有Ubuntu One帐户,如果没有,它会为您提供创建一个的选项。
登录时,它会显示您帐户的令牌,并告诉您必须键入哪些命令。 这些命令是:
sudo apt install snapd
sudo snap install canonical-livepatch
sudo canonical-livepatch enable tu_token
请注意,令牌只能在三台机器上免费使用。
使用以下说明检查工具的状态:
sudo canonical-livepatch status
要强制检查新更新,请键入:
sudo canonical-livepatch refresh
通过无人值守的自动更新确保服务器安全
当我开始制作网站时, 我使用的是刚刚开始开发的开源内容管理器,后来得知的托管服务提供商是一个冒险家。 有一天我睡不好觉,我做了我从未做过的事。 小憩。 在这两个小时中,有人利用了项目中的漏洞,我缺乏经验以及托管服务提供商对我缺乏重视在我的网站上插入虚假页面以窃取美国银行客户的数据。 我向你保证,美联储不会很好地处理这种事情。
这样做的寓意是 您要么全天候监视服务器,注意到安全问题以及新版本应用程序的可用性,要么正在寻找一种自动解决问题的方法。
幸运的是,Ubuntu开发人员提供了一个修复程序
对其进行配置的步骤如下。
我们确保系统是最新的:
sudo apt update
sudo apt upgrade
我们安装必要的程序
sudo apt install unattended-upgrades apt-listchanges bsd-mailx
在打开的窗口中,选择“无配置”
我们使用以下方式启动该应用程序:
sudo dpkg-reconfigure -plow unattended-upgrades
在打开的窗口中,单击以接受自动更新。
现在我们必须配置一些东西。
写道:
sudo nano /etc/apt/apt.conf.d/50unattended-upgrades
按CTRL + W搜索此行 无人值守升级::邮件
并附上您的电子邮件地址。
然后寻找这条线 无人值守升级::自动重启
并确认它是正确的。 这使系统在必要时自动重新启动。
按CTRL + X并同意保存更改。
现在写:
sudo nano /etc/apt/listchanges.conf
用CTRL + W查找e邮件地址 并重复您之前输入的地址。
使用CTRL + X保存并接受我所做的更改。
使用以下命令测试配置
sudo unattended-upgrades --dry-run