Защитете домашния си сървър от външни атаки.

Днес ще ви дам няколко съвета как да имате по-сигурен домашен сървър (или малко по-голям). Но преди да ме разкъсат жив.

НИЩО НЕ Е ПЪЛНО БЕЗОПАСНО

С тази добре дефинирана резервация продължавам.

Ще разглеждам части и няма да обяснявам всеки процес много внимателно. Ще го спомена само и ще изясня едно или друго нещо, за да могат да отидат в Google с по-ясна представа за това, което търсят.

Преди и по време на инсталацията

• Силно се препоръчва сървърът да бъде инсталиран възможно най-"минимално". По този начин предотвратяваме стартирането на услуги, които дори не знаем дали съществуват или за какво са. Това гарантира, че цялата настройка работи сама.
• Препоръчително е сървърът да не се използва като ежедневна работна станция. (С което четете тази публикация. Например)
• Надявам се сървърът да няма графична среда

Разделяне.

• Препоръчително е папките, които се използват от потребителя като "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /" да бъдат присвоени на различен дял от системния.
• Критичните папки като "/ var / log" (където се съхраняват всички системни дневници) се поставят на различен дял.
• Сега, в зависимост от типа сървър, ако например това е пощенски сървър. Папка "/var/mail и / или /var/spool/mail»Трябва да е отделен дял.

Парола.

За никого не е тайна, че паролата на потребителите на системата и / или други видове услуги, които ги използват, трябва да е сигурна.

Препоръките са:

• Това не съдържа: Вашето име, име на вашия домашен любимец, име на роднини, специални дати, места и др. В заключение. Паролата не трябва да съдържа нищо свързано с вас или нещо, което ви заобикаля или ежедневието ви, нито трябва да има нещо, свързано със самия акаунт.  Пример: Twitter # 123.
• Паролата трябва да отговаря и на параметри като: Комбиниране на главни, малки букви, цифри и специални символи.  Пример: DiAFsd · $ 354 ″

След инсталиране на системата

• Това е нещо лично. Но аз обичам да изтривам ROOT потребителя и да присвоявам всички привилегии на друг потребител, така че избягвам атаки срещу този потребител. Като много често.

• Много е практично да се абонирате за пощенски списък, където се обявяват грешки в сигурността на дистрибуцията, която използвате. В допълнение към блогове, bugzilla или други случаи, които могат да ви предупредят за възможни грешки.
• Както винаги се препоръчва постоянна актуализация на системата, както и на нейните компоненти.
• Някои хора препоръчват също да защитите Grub или LILO и нашия BIOS с парола.
• Има инструменти като "chage", които позволяват на потребителите да бъдат принудени да сменят паролата си всеки X път, в допълнение към минималното време, което трябва да изчакат, за да го направят, както и други опции.

Има много начини да защитим нашия компютър. Всичко по-горе беше преди инсталирането на услуга. И просто споменете няколко неща.

Има доста обширни ръководства, които си струва да се прочетат. за да научите за това необятно море от възможности .. С времето научавате едно или друго. И ще разберете, че винаги липсва .. Винаги ...

Сега нека си осигурим още малко УСЛУГИ. Първата ми препоръка е винаги: «НЕ НАПУСКАЙТЕ КОНФИГУРАЦИИТЕ ПО подразбиране». Винаги отивайте в конфигурационния файл на услугата, прочетете малко за това какво прави всеки параметър и не го оставяйте, както е инсталиран. Винаги носи проблеми с него.

Въпреки това:

SSH (/ etc / ssh / sshd_config)

В SSH можем да направим много неща, така че да не е толкова лесно да се нарушат.

Например:

-Не разрешавайте влизането в ROOT (В случай, че не сте го променили):

"PermitRootLogin no"

-Не позволявайте на паролите да са празни.

"PermitEmptyPasswords no"

-Променете порта, където слуша.

"Port 666oListenAddress 192.168.0.1:666"

-Оторизирайте само определени потребители.

"AllowUsers alex ref me@somewhere"   Me @ някъде е да принуди този потребител винаги да се свързва от един и същ IP.

-Оторизирайте конкретни групи.

"AllowGroups wheel admin"

Съвети.

• Напълно безопасно е и също почти задължително да поставяте потребители на ssh чрез chroot.
• Можете също да деактивирате прехвърлянето на файлове.
• Ограничете броя на неуспешните опити за влизане.

Почти основни инструменти.

Fail2ban: Този инструмент, който е в репозитории, ни позволява да ограничим броя на достъпите до много видове услуги "ftp, ssh, apache ... и т.н.", като забранява IP адресите, които надхвърлят ограничението на опитите.

Втвърдители: Те са инструменти, които ни позволяват да "втвърдим" или по-скоро да въоръжим нашата инсталация с защитни стени и / или други екземпляри. Между тях "ожесточавам и Bastille Linux«

Детектори за проникване: Има много NIDS, HIDS и други инструменти, които ни позволяват да предотвратим и да се предпазим от атаки, чрез регистрационни файлове и сигнали. Сред много други инструменти. Съществува "OSSEC«

В заключение. Това не беше ръководство за сигурност, а по-скоро бяха поредица от елементи, които трябва да се вземат предвид, за да има доста сигурен сървър.

Като личен съвет. Прочетете много за това как да преглеждате и анализирате ЛОГИ и нека се превърнем в някои глупаци на Iptables. Освен това, колкото повече софтуер е инсталиран на сървъра, толкова по-уязвим става той, например CMS трябва да бъде добре управляван, да го актуализира и да гледа много добре какви добавки добавяме.

По-късно искам да изпратя публикация за това как да осигуря нещо конкретно. Там, ако мога да дам повече подробности и да практикувам.