Debian 9 "Stretch" - jak si zabezpečit server

Pokud máte počítač vystavený v internetu, je jenom otázka, kdy si ho někdo všimne a začne na něm něco zkoušet. Je proto dobré na to myslet předem, a provést alespoň pár základních úkonů, jak to případným útočníkům ztížit.

V předchozím článku jsme provedli pár změn v nově nainstalovaném systému, teď si ho zkusíme trochu zabezpečit.

automatické aktualizace

Každý programátor je člověk, a tak je jasné, že dělá chyby. Ještě větší chybou by ale bylo problémové věci neopravovat.

Proto máme balíček unattended-upgrades, který nám pomáhá držet systém aktualizovaný - viz https://wiki.debian.org/UnattendedUpgrades

V souboru /etc/apt/apt.conf.d/50unattended-upgrades si povolte jen

"o=Debian,n=jessie,l=Debian-Security";

popř. ještě

"o=Debian,n=jessie";
"o=Debian,n=jessie-updates";

což může lehce zvýšit riziko, že po aktualizaci něco začne fungovat trochu jinak.

firewall iptables

Firewallů existují mraky (nftables, ufw ... ), já používám klasiku - iptables.

Instalace jednoduchá, i s volitelným balíčkem pro načtení pravidel po restartu. 

aptitude install iptables iptables-persistent

Nějaké čtení na https://wiki.debian.org/DebianFirewall nebo https://wiki.debian.org/iptables