Днес ще ви дам няколко съвета как да имате по-сигурен домашен сървър (или малко по-голям). Но преди да ме разкъсат жив.
НИЩО НЕ Е ПЪЛНО БЕЗОПАСНО
С тази добре дефинирана резервация продължавам.
Ще разглеждам части и няма да обяснявам всеки процес много внимателно. Ще го спомена само и ще изясня едно или друго нещо, за да могат да отидат в Google с по-ясна представа за това, което търсят.
Преди и по време на инсталацията
- Силно се препоръчва сървърът да бъде инсталиран възможно най-"минимално". По този начин предотвратяваме стартирането на услуги, които дори не знаем дали съществуват или за какво са. Това гарантира, че цялата настройка работи сама.
- Препоръчително е сървърът да не се използва като ежедневна работна станция. (С което четете тази публикация. Например)
- Надявам се сървърът да няма графична среда
Разделяне.
- Препоръчително е папките, които се използват от потребителя като "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /" да бъдат присвоени на различен дял от системния.
- Критичните папки като "/ var / log" (където се съхраняват всички системни дневници) се поставят на различен дял.
- Сега, в зависимост от типа сървър, ако например това е пощенски сървър. Папка "
/var/mail
и / или/var/spool/mail
»Трябва да е отделен дял.
Парола.
За никого не е тайна, че паролата на потребителите на системата и / или други видове услуги, които ги използват, трябва да е сигурна.
Препоръките са:
- Това не съдържа: Вашето име, име на вашия домашен любимец, име на роднини, специални дати, места и др. В заключение. Паролата не трябва да съдържа нищо свързано с вас или нещо, което ви заобикаля или ежедневието ви, нито трябва да има нещо, свързано със самия акаунт. Пример: Twitter # 123.
- Паролата трябва да отговаря и на параметри като: Комбиниране на главни, малки букви, цифри и специални символи. Пример: DiAFsd · $ 354 ″
След инсталиране на системата
- Това е нещо лично. Но аз обичам да изтривам ROOT потребителя и да присвоявам всички привилегии на друг потребител, така че избягвам атаки срещу този потребител. Като много често.
- Много е практично да се абонирате за пощенски списък, където се обявяват грешки в сигурността на дистрибуцията, която използвате. В допълнение към блогове, bugzilla или други случаи, които могат да ви предупредят за възможни грешки.
- Както винаги се препоръчва постоянна актуализация на системата, както и на нейните компоненти.
- Някои хора препоръчват също да защитите Grub или LILO и нашия BIOS с парола.
- Има инструменти като "chage", които позволяват на потребителите да бъдат принудени да сменят паролата си всеки X път, в допълнение към минималното време, което трябва да изчакат, за да го направят, както и други опции.
Има много начини да защитим нашия компютър. Всичко по-горе беше преди инсталирането на услуга. И просто споменете няколко неща.
Има доста обширни ръководства, които си струва да се прочетат. за да научите за това необятно море от възможности .. С времето научавате едно или друго. И ще разберете, че винаги липсва .. Винаги ...
Сега нека си осигурим още малко УСЛУГИ. Първата ми препоръка е винаги: «НЕ НАПУСКАЙТЕ КОНФИГУРАЦИИТЕ ПО подразбиране». Винаги отивайте в конфигурационния файл на услугата, прочетете малко за това какво прави всеки параметър и не го оставяйте, както е инсталиран. Винаги носи проблеми с него.
Въпреки това:
SSH (/ etc / ssh / sshd_config)
В SSH можем да направим много неща, така че да не е толкова лесно да се нарушат.
Например:
-Не разрешавайте влизането в ROOT (В случай, че не сте го променили):
"PermitRootLogin no"
-Не позволявайте на паролите да са празни.
"PermitEmptyPasswords no"
-Променете порта, където слуша.
"Port 666oListenAddress 192.168.0.1:666"
-Оторизирайте само определени потребители.
"AllowUsers alex ref me@somewhere"
Me @ някъде е да принуди този потребител винаги да се свързва от един и същ IP.
-Оторизирайте конкретни групи.
"AllowGroups wheel admin"
Съвети.
- Напълно безопасно е и също почти задължително да поставяте потребители на ssh чрез chroot.
- Можете също да деактивирате прехвърлянето на файлове.
- Ограничете броя на неуспешните опити за влизане.
Почти основни инструменти.
Fail2ban: Този инструмент, който е в репозитории, ни позволява да ограничим броя на достъпите до много видове услуги "ftp, ssh, apache ... и т.н.", като забранява IP адресите, които надхвърлят ограничението на опитите.
Втвърдители: Те са инструменти, които ни позволяват да "втвърдим" или по-скоро да въоръжим нашата инсталация с защитни стени и / или други екземпляри. Между тях "ожесточавам и Bastille Linux«
Детектори за проникване: Има много NIDS, HIDS и други инструменти, които ни позволяват да предотвратим и да се предпазим от атаки, чрез регистрационни файлове и сигнали. Сред много други инструменти. Съществува "OSSEC«
В заключение. Това не беше ръководство за сигурност, а по-скоро бяха поредица от елементи, които трябва да се вземат предвид, за да има доста сигурен сървър.
Като личен съвет. Прочетете много за това как да преглеждате и анализирате ЛОГИ и нека се превърнем в някои глупаци на Iptables. Освен това, колкото повече софтуер е инсталиран на сървъра, толкова по-уязвим става той, например CMS трябва да бъде добре управляван, да го актуализира и да гледа много добре какви добавки добавяме.
По-късно искам да изпратя публикация за това как да осигуря нещо конкретно. Там, ако мога да дам повече подробности и да практикувам.
Запазено в любими!
Поздрави!
Отлични СЪВЕТИ, добре, миналата година инсталирах във „Важна НАЦИОНАЛНА АВИОЛЕЙКА“ няколко системи за сигурност и наблюдение и с изненада научих, че въпреки няколкото десетки милиона долара в оборудване (SUN Solaris, Red Hat, VM WARE , Windows Server, Oracle DB и др.), Защита на NADA.
Използвах Nagios, Nagvis, Centreon PNP4Nagios, Nessus и OSSEC, основната парола беше публично известна, добре, за една година всичко беше изчистено, което си струваше да спечелите много пари, но и много опит в този тип неща. Никога не пречи да вземете предвид всичко, което току-що обяснихте.
Поздрави.
Хубаво. Директно към любимите ми.
Страхотна статия ... <3
Че, за следващото можете да продължите да обяснявате как да използвате ossec или други инструменти! Много добър пост! Още, моля!
През февруари, за почивката си, искам да си сътруднича с пост на Nagios и инструменти за наблюдение.
Поздрави.
Хубава статия, не бях планирал нищо друго, за да поправя компютъра си, за да напиша един по-изчерпателен тилин, но ти ме изпревари xD. Добър принос!
Бих искал също да видя публикация, посветена на детекторите за проникване. По този начин го добавям към любими.