最初のサーバーを実行する準備をしています。
ufw
を使用して、ssh
のポート22とhttp
のポート80を除くすべてのポートを無効にします。
でも気になります。理論的には、ssh
ポートとftp
ポート以外のすべてのポートを開いたままにしたとします。 ssh
とftp
がなければ、ハッカーが私のサーバーにアクセスできるようにする他のサービスやプロトコルはありますか?また、犯人が私のサーバーに直接物理的にアクセスできないとします。
ポート、サービス、脆弱性、エクスプロイトを混乱させています。これが家に基づいた類推です。通りに家(サーバー)があります。その家には3つのドア(ポート)があり、それぞれ異なる場所(サービス)につながっています。あなたがドア(ポート)を持っているからといって、誰かがあなたの宝石を中に入れて盗もうとしているわけではありません。サービスは、クライアントとサーバー間の相互接続のためにポートを開く必要があるため、ポートが開かれます。すべてのサービスが脆弱であるわけではなく、脆弱なサービスでさえ悪用可能ではありません。
たとえば、家の例では、ドアを持つことは脆弱性ですが、玄関に別のロックされたドアがあるドアにつながると、悪用可能性がなくなります泥棒があなたのジュエリーを手に入れようとしています。他のパラメータがある可能性があります:泥棒GETS INドアですが、今ではホワイエに閉じ込められており、悪質な犬(ハニーポット、投獄されている)を見つめています環境)。写真をゲット?
Webサーバーの実行に不安がある場合は、使用するソフトウェアのバージョンを確認してから、NISTでエクスプロイトや脆弱性を CVE search を使用して探します。そうでなければ、あなたが取っているアプローチは間違っています。あなたが窓のある家を持っているからといって、誰かが行くつもりである、またはそれらを壊すことができるという意味ではありません Ocean's Eleven
ポートで実行されているサービスのセキュリティを監査して、自分がどの程度悪用可能であるかを理解する必要があります。それでも、通常の脆弱性スキャナーは、実行している可能性のあるサービスのバージョンに基づいて提案するだけです。ベクトル化は監査可能なものですが、一般的に言えば、最近は専門家に任せるのが最善です。
サーバーの目的に応じて、さまざまなレベルのコストで監査を提供する会社が数多くあります。まだ商用プロジェクトではない場合、Nessusには自動化されたルートに進むことができるコミュニティエディションがあります。
合理的なシステム管理者は、自分が常に危険にさらされていると想定し、その想定の下でセキュリティに取り組みます。