ubuntu16.04搭建我的簡易DLP
前言
最近一朋友讓我幫忙搭建一臺服務器,用作公司的服務器,可是該服務器須要知足一些安全要求,因而乎就有了下面的解決過程^_^ubuntu
需求
- 指望普通用戶和管理員都能ssh登錄服務器,但禁止scp或者其餘方式下載文件,容許管理員上傳文件;
- 本地操做時,普通用戶usb口無效,但管理員有效
- 指望用ubuntu搭建(偏向ubuntu server)
方案1
由於我也沒接觸過這些,因此只好嘗試着解決。首先想到的是這樣的需求應該是很是廣泛的,所以市場上確定有現成的解決方案,本身從0造輪子不是個人風格,由於任何輪子須要考慮的太多,通過市場檢驗的,絕對比我剛造出的好^_^。通過搜索,我發現行業裏關於這個的專業術語叫 DLP (Data Loss Prevention),國內作的比較好的有 中軟、北信源、鼎普、億賽通、明朝萬達。開源免費的也有,不知道使用麻不麻煩 好比,OpenDLP MyDLP,這些都是ubuntu支持的。最終我建議他直接選一家國內的方案,雖然花點錢,但畢竟是公司使用啊,安全性(真的嗎?我本身不太信,哈哈)和容易程度都應該是較爲出色的。但建議被拒絕了,理由是公司很小,不想花這錢,並且他的需求很簡單,不用DLP那麼複雜。哎,我只好接着找解決方案windows
方案2
仍是本身造輪子吧!哈哈。但我造以前是有考慮他的需求的,由於他的需求確實比較簡單,需求1就是指望全部人可以正常訪問服務器的資料,可是不但願訪問的人可以拷走資料,針對這個的解決方法我打算用遠程桌面和經過防火牆禁掉除遠程桌面外的其餘端口。首先,圖形化操做對於用戶來講更加簡單,入門門檻低;其次,遠程桌面就知足了防止用戶拷貝,ssh登錄還能在終端裏拷貝顯示的內容呢,遠程桌面的話,除非用戶截屏;最後,禁掉端口也就防止了用戶經過其餘程序下載數據^_^ 需求2就是禁掉usb,但容許管理員經過usb更新服務器數據,這個的話,管理員默認建立的用戶就不是sudoer,因此自己就不容許操做usb,所以也解決了。下面就開始搭建、驗證(搭建過程仍是遇到一些坎的)安全
搭建步驟
- 下載ubuntu16.04,用startup disk creator製做啓動盤;
- 將u盤插入要搭建的服務器上,從u盤啓動;
- 安裝的時候選擇lvm+加密方式(這是我額外贈送的安全防禦,即便硬盤被偷了,別人也沒法打開數據,固然,這樣的弊端就是服務器每次啓動都須要先輸入磁盤解密密碼);
- 安裝遠程桌面,在這步我花了很多時間,之前ubuntu14和15的時候用過遠程桌面,原覺得很快就搞定,結果發現裝完後,客戶端登錄就是個灰色界面,沒有任何可操做的地方。後來在網上找到了解決方法(默認的unity支持不夠好,以前我就是在server上裝的unity),步驟以下:
#安裝遠程桌面服務端 sudo apt-get install xrdp #更新源 sudo apt-get update #安裝mate桌面 sudo apt-get install mate-core mate-desktop-environment mate-notification-daemon #將遠程桌面的默認桌面設置爲mate sudo sed -i.bak '/fi/a #xrdp multiple users configuration \n mate-session \n' /etc/xrdp/startwm.sh
這樣以後,客戶端就能夠登錄了。windows下直接在運行(win+r調出)中輸入mstsc,而後輸入服務器ip就能夠了;服務器
- 屏蔽其餘端口,以前也沒怎麼用戶防火牆操做,網上查看了下iptables的基本使用及結合網上的解決方案,最後還真實現了,將下面的內容放入rc.local,這樣系統起來就會執行,執行後,網絡除了遠程端口外,就全封掉了,無論進入仍是出去
iptables -F iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport 3389 -m state --state NEW -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp --dport 3389 -m state --state NEW -j ACCEPT
通過以上步驟及測試,知足需求網絡
完!
2016年8月session
- 1. JavaWeb搭建簡易我的博客
- 2. ubuntu16.04搭建WordPress我的博客
- 3. SpringBoot簡易搭建
- 4. Ovirt4.3簡易搭建
- 5. Zabbix的簡易搭建
- 6. Python搭建簡易的webserver
- 7. 簡易的論壇搭建
- 8. 使用 simiki 搭建我的 wiki(簡易的博客)
- 9. 使用node.js搭建簡易的我的博客(一)
- 10. ubuntu16.04搭建QT5.7
- 更多相關文章...
- • XSD 簡易元素 - XML Schema 教程
- • Swift 環境搭建 - Swift 教程
- • Git可視化極簡易教程 — Git GUI使用方法
- • 適用於PHP初學者的學習線路和建議
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. No provider available from registry 127.0.0.1:2181 for service com.ddbuy.ser 解決方法
- 2. Qt5.7以上調用虛擬鍵盤(支持中文),以及源碼修改(可拖動,水平縮放)
- 3. 軟件測試面試- 購物車功能測試用例設計
- 4. ElasticSearch(概念篇):你知道的, 爲了搜索…
- 5. redux理解
- 6. gitee創建第一個項目
- 7. 支持向量機之硬間隔(一步步推導,通俗易懂)
- 8. Mysql 異步複製延遲的原因及解決方案
- 9. 如何在運行SEPM配置嚮導時將不可認的複雜數據庫密碼改爲簡單密碼
- 10. windows系統下tftp服務器使用