使用 NAS 保護我的 Web 伺服器

我一直在研究網路伺服器的安全威脅。這讓我想在我的 Raspbian OS 系統上保護自己的安全。推薦或可選在伺服器上安裝或配置的內容列表是什麼。

我目前有：

• 蛤蜊AV
• Fail2ban
• 阿帕奇 httpd

另外，請為我提供一種配置這些軟體包的方法，以使其盡可能安全，包括 SSH，因為我將遠端處理它。

1. 升級一切

apt update && apt upgrade -y

2. 安全 ssh

grep -P ^Pass /etc/ssh/sshd_config
PasswordAuthentication no

3. 將 iptables（或 ufw 等）配置為僅允許 ssh 和 https

apt install -y iptables-persistent
iptables --flush
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 255 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited
iptables-save > /etc/iptables/rules.v4
ip6tables --flush
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -p ipv6-icmp -j ACCEPT
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT
ip6tables -A INPUT -j REJECT
ip6tables -A FORWARD -j REJECT
ip6tables-save > /etc/iptables/rules.v6

4. 要麼阻止 apache 執行腳本（PHP 等），要麼確保你的程式碼是好的。

5. 使用異地氣隙備份、分層安全、入侵檢測系統、全盤加密、按任務隔離的電腦。

6. 使用靜態分析

7. https://www.ssllabs.com/ssltest/

8. https://securityheaders.com/

9. https://developers.google.com/web/tools/lighthouse/

10. https://jigsaw.w3.org/css-validator/

11. https://github.com/exakat/php-static-analysis-tools

12. ETC

13. 教育自己…

14. https://arstechnica.com/author/dan-goodin/

15. https://www.youtube.com/watch?v=jmgsgjPn1vs&list=PLhixgUqwRTjx2BmNF5-GddyqZcizwLLGP

16. https://www.youtube.com/user/BlackHatOfficialYT

17. https://tools.ietf.org/html/

18. https://www.w3schools.com/

19. ETC

引用自：https://unix.stackexchange.com/questions/460086