コンソールへのアクセス

Linuxサーバーは、オペレーティングシステムの安定性と、「ヘッドレス」構成でリモート管理が容易なため、人気が高まっています。 SSHアクセスは依然としてLinuxサーバーを管理するための非常に一般的な方法ですが、お気に入りのクラウドプロバイダーからサーバーをデプロイするとすぐに、システムログの分析により、ハッカーがSSHに接続しようとする速度と頻度がわかります。箱。 。弱いLinuxサーバーは、ハッカーから、トラックをカバーしてより価値のあるターゲットをハッキングするための出発点として使用したり、分散型サービス拒否（DDOS）攻撃のボットとして使用したり、暗号通貨をマイニングしたりすることで高く評価されています。

すべてのクラウドプロバイダーは、責任分担モデルのおかげで、仮想マシン上のオペレーティングシステムを保護することがあなたの責任であると指定しています。適度に優れたシステム管理者になる方法を学びたくない場合は、あなたを助ける資格のある人を見つけてください。

サーバーを保護するためのヒントを次に示します。

1. サーバーをデプロイするときに最初に行う必要があるのは、サーバーにパッチを適用することです。サーバーに定期的かつ頻繁にパッチを適用してください。言い訳はできません。
2. どうしても必要な場合を除いて、サーバーへの着信SSH接続をまったく許可しないでください。多くのクラウドプロバイダーでは、AWSSystemsManagerなどのWebベースのコンソールを介してサーバーへのコンソールアクセスを取得できます。はい、それは時々少し不器用かもしれませんが、それはあなたのシステムを安全に保ちます。はい、つまり、SCPを使用してファイルをシステムにコピーすることはできませんが、必要な場合は、とにかく間違っています。
3. SSHへのインバウンド接続を許可する必要がある場合は、セキュリティグループ（または同等のもの）とファイアウォールルールを使用して、IPアドレスまたは自宅または職場のサブネットからのアクセスのみを制限します。それを世界に公開したままにしないでください！
4. SSHを22以外のポートで実行するように変更しても問題はありませんが、サーバーを保護するためにSSHに依存しないでください。SSHを検出し、ポートスキャンを実行して、開いているすべてのポートを検出します。
5. すべてのアプリケーションのデフォルトパスワードをシステムに残さないでください。デフォルトのRaspberryPiは誰にでもよく知られているので、パブリックサーバーを使用していることを宣伝することもできます。明らかに、デフォルトのパスワードを一意で安全なパスフレーズに変更します。
6. ブルートフォース攻撃を回避するために、パスワードの代わりに、可能な限りSSHキーを使用してください。
7. SSHキーに加えて、多要素ソリューション（MFA）を使用します。これらのキーは、Google、Duo、およびその他のベンダーから無料で入手できます。
8. rootアカウントへのSSHアクセスを許可しないでください。 SSHアカウントを構成して、sudoコマンドを発行するためのパスワードを要求します。SSHアカウントがシステムにアクセスする場合は、SSHアカウントが機能するようにします。
9. SSHアクセスを許可しないサービスアカウントですべてのアプリケーションを実行します。
10. サーバーログを頻繁に監視し、疑わしいプロセスや異常なアクティビティの兆候を探します。そうすることは、クラウドプロバイダーではなく、あなたの責任です。彼らはあなたのシステムから来る異常な活動についてあなたに警告することができますが、あなたを禁止してあなたのアカウントを閉鎖することもできます！
11. サーバーレスオプションを探してください。多くの人がLinuxサーバーをデプロイしています。それが彼らが最もよく知っていることだからです。ラムダやグーグル関数のように、独自のサーバーの実行を伴わない少し複雑なソリューションが存在する可能性があります。

私はそれらとはまったく関係がありませんが、 DigitalOceanは、次のようなこれらの推奨事項のいくつかを設定する方法に関する優れたガイドを提供します。

• Ubuntu20.04でsshキーを設定する方法
• Ubuntu18.04で多要素認証を構成する方法

責任を持ってLinuxを安全にご利用ください。