Koraci za osiguranje našeg VPS-a

Ovaj vodič pokazuje kako pripremiti i osigurati virtualni privatni poslužitelj (VPS) s Debian GNU / Linuxom. Prije nego što započnemo, pretpostavljaju se određene stvari:

  1. Imate srednji nivo poznavanja GNU / Linuxa.
  2. Postoji VPS za ličnu upotrebu kojem imamo pristup putem SSH-a.
  3. VPS ima namjenski vanjski ipv4 250.250.250.155, a naš dobavljač posjeduje blok 250.250.0.0/16. (1)
  4. U našem VPS-u imat ćemo omogućene samo http, https i ssh usluge za pristup izvana.
  5. Vanjski DNS neće biti omogućen jer se to obično radi na panelu našeg dobavljača. (2)
  6. Radit će kao superkorisnik.

Instalacija

Kao prvi korak, ažurirajmo server i instalirajmo neke pakete koji će nam trebati:

# aptitude update & aptitude safe-upgrade # aptitude -RvW instaliraj dropbear gesftpserver sslh iptables-persistent ulogd fail2ban nginx-light apache2-utils dnsutils telnet ghostscript poppler-utils zip unzip unrar-free p7zip-full multitail tee mc

konfiguracija

Sada ćemo stvoriti korisničkog korisnika. Rad kao root na serveru nije siguran, pa ćemo prvo stvoriti posebnog korisnika:

adduser operator usermod -aG sudo operator

Prva naredba kreira korisnika operatora, druga ga dodaje u grupu sudo, koji će vam omogućiti pokretanje aplikacija kao root.

Prilagodite dozvole za super korisnike

Za redovan rad koristit ćemo korisnika operatera prethodno stvorene, moramo prilagoditi opcije izvršavanja naredbe kao superkorisnika, za što izvršavamo sljedeću naredbu:

visudo

Ova naredba u osnovi omogućava izmjenu datoteke / etc / sudoers; u kojem bismo trebali sadržati ove redove:

Zadane vrijednosti env_reset, timestamp_timeout = 0% sudo ALL = (ALL: ALL) ALL

U prvom retku opcija se dodaje zadanim vrijednostima timestamp_timeout što vam omogućava da postavite vrijeme isteka (u minutama) lozinke kada se izvrši sudo naredba. Zadana vrijednost je 5, ali to ponekad nije sigurno iz dva razloga:

  1. Ako nehotice ostavimo računar prijavljenim prije isteka lozinke, netko bi mogao izvršiti naredbu kao root bez ikakvih ograničenja.
  2. Ako iz neznanja izvršimo aplikaciju ili skriptu koja sadrži zlonamjerni kod prije isteka lozinke, aplikacija bi mogla imati pristup našem sistemu kao superkorisnik, bez našeg izričitog pristanka.

Da bismo izbjegli rizike, postavili smo vrijednost na nulu, odnosno svaki put kada se izvrši sudo naredba, morat će se unijeti lozinka. Ako je negativna vrijednost postavljena na -1, učinak je da lozinka nikad ne ističe, što bi rezultiralo suprotnim rezultatom od onoga što želimo.

U drugom redu je pojašnjeno da sudo grupa može izvršiti bilo koju naredbu na bilo kojem računaru, što je uobičajeno, iako se može prilagoditi. (3) Postoje oni koji zbog praktičnosti stavljaju redak kako slijedi da ne bi morali upisivati ​​lozinku:

% sudo ALL = (ALL: ALL) NOPASSWD: ALL

Međutim, kao što smo ranije objasnili, ovo je rizično i stoga se ne preporučuje.

Onemogući ponovno pokretanje

Iz sigurnosnih razloga onemogućit ćemo i ponovno pokretanje pomoću kombinacije tipki Ctrl + Alt + Del, za koji moramo dodati ovaj redak u datoteci / etc / inittab:

ca: 12345: ctrlaltdel: / bin / echo "Ctrl + Alt + Del je onemogućen."

Zamijenite OpenSSH sa DropBear

Većina VPS-a dolazi s instaliranim OpenSSH-om, što je svakako vrlo korisno, ali ako ne trebamo iskoristiti svu funkcionalnost OpenSSH-a, postoje lakše opcije za VPS, poput Dropbear, što je obično dovoljno za redovnu upotrebu. Međutim, nedostatak ove aplikacije je što ne dolazi s integriranim SFTP serverom, i zato smo na početku instalirali paket gesftpserver.

Da bismo konfigurirali Dropbear, izmijenit ćemo datoteku / etc / default / dropbear tako da sadrži ove dvije linije:

NO_START = 0 DROPBEAR_EXTRA_ARGS = "- w -p 127.0.0.1:22 -I 1200 -m"

Prva linija jednostavno omogućava uslugu, a druga čini nekoliko stvari:

  1. Izbjegavajte root pristup.
  2. Čini uslugu preslušavanjem na portu 22 lokalnog sučelja (kasnije ćemo objasniti zašto).
  3. Postavlja vrijeme čekanja (20 minuta).

SSLH

Port 22 (SSH) dobro je poznat i općenito je jedan od prvih koje hakeri pokušavaju probiti, pa ćemo umjesto toga koristiti port 443 (SSL). Dogodi se da se ovaj port koristi za sigurno pregledavanje putem HTTPS-a.

Iz tog razloga koristit ćemo sslh paket, koji je ništa više od multipleksera koji analizira pakete koji stižu na port 443 i interno ih usmjerava na jednu ili drugu uslugu, ovisno o tome je li vrsta prometa SSH ili SSL.

SSLH ne može slušati na sučelju na kojem već sluša druga usluga, zbog čega smo prethodno natjerali Dropbear da preslušava na lokalnom sučelju.

Sada ono što trebamo učiniti je naznačiti sslh sučelje i port preko kojeg bi trebalo slušati i gdje preusmjeriti pakete ovisno o vrsti usluge, a za to ćemo izmijeniti konfiguracijsku datoteku / etc / default / sslh:

DAEMON = / usr / sbin / sslh DAEMON_OPTS = "- korisnik sslh --slušaj 250.250.250.155:443 --ssh 127.0.0.1:22 --ssl 127.0.0.1:443 --pidfile / var / run / sslh / sslh. pid "RUN = da

Konačno, ponovo pokrećemo usluge:

service ssh stop && service dropbear start && service sslh restart

Nakon prethodne naredbe, naša sigurna sesija će vjerojatno biti prekinuta, u tom slučaju je dovoljno ponovno se prijaviti, ali ovaj put s korisničkim korisnikom i putem porta 443. Ako sesija nije prekinuta, preporučljivo je da je zatvorite i započnite ponovo s odgovarajućim vrijednostima.

Ako sve funkcionira ispravno, možemo nastaviti raditi kao root i ako želimo, deinstalirajte OpenSSH:

sudo su - aptitude -r purge openssh-server

Vatrozid

Sljedeće što ćemo učiniti je razdvojiti zapisnike sa zaštitnog zida u zasebnu datoteku /var/log/firewall.log kako bi se olakšala dalja analiza, zbog čega smo ulogd paket instalirali prilikom pokretanja. Zbog toga ćemo urediti datoteku /etc/logd.conf da prilagodite odgovarajući odjeljak:

[LOGEMU] file = "/ var / log / firewall.log" sync = 1

Dalje ćemo izmijeniti datoteku rotacije zapisa / etc / logrotate / ulogd kako biste zadržali dnevnu rotaciju (s datumom) i spremili komprimirane salve u direktorij / var / log / ulog /:

/var/log/ulog/*.log /var/log/firewall.log {svakodnevno dateext missingok komprimirati delaycompress sharedscripts stvoriti 640 root adm postrotate /etc/init.d/ulogd reload mv /var/log/firewall.log-* .gz / var / log / ulog / endscript}

Tada ćemo stvoriti pravila netfiltera izvršavajući sljedeće:

IPT = $ (koji se mogu prilagoditi) IPEXT = 250.250.250.155 IPEXTBLK = 250.250.0.0 / 16 IPBCAST = 255.255.255.255 $ IPT -F $ IPT -X $ IPT -Z $ IPT -A INPUT -i lo -j ACCEPT $ IPT - P INPUT DROP $ IPT -P NAPRED DROP $ IPT -P OUTPUT ACCEPT $ IPT -A INPUT -m stanje - stanje INVALID -j ULOG --ulog-prefiks IN_INVALID $ IPT -A INPUT -p igmp -j ULOG --ulog -prefiks IN_IGMP $ IPT -A ULAZ -m pkttype -pkt-vrsta emitiranja -j ULOG --ulog-prefiks IN_BCAST $ IPT -A INPUT -m pkttype --pkt-type multicast -j ULOG --ulog-prefiks IN_MCAST $ IPT -A NAPRED -j ULOG --ulog-prefiks NAPRED $ IPT -N ICMP_IN $ IPT -A ULAZ!  -i lo -p icmp -j ICMP_IN $ IPT -A ICMP_IN -p icmp -f -j ULOG --ulog-prefiks IN_ICMP_FRAGMENTED $ IPT -A ICMP_IN -p icmp -m icmp -m length!  --dužina 28: 1322 -j ULOG --ulog-prefiks IN_ICMP_INVALIDSIZE $ IPT -A ICMP_IN -p icmp -m icmp -m hashlimit --hashlimit-iznad 4 / sec --hashlimit-mode srcip --hashlimit-srcmask 24 - -hashlimit-name icmpflood -j ULOG --ulog-prefiks IN_ICMP_FLOOD $ IPT -A ICMP_IN -p icmp -m icmp -m hashlimit --hashlimit-upto 64kb / min --hashlimit-mode srcip --hashlimit-srcmask 24 - hashlimit -ime icmpattack -j ULOG --ulog-prefiks IN_ICMP_FLOOD $ IPT -A ICMP_IN -p icmp -m icmp -m u32!  --u32 "0x4 & 0x3fff = 0x0" -j ULOG --ulog-prefiks IN_ICMP_ATTACK $ IPT -A ICMP_IN -p icmp -m icmp!  - echo-request -m state --m state --state NOVO -j ULOG --ulog-prefiks IN_ICMP_INVALID $ IPT -A ICMP_IN -p icmp -m icmp - emp-type -mpmp -j ULOG --ulog- prefiks IN_ICMP $ IPT -A ICMP_IN -p icmp -m icmp - emp-type -mpmp type -m limit --limit 1 / sec --limit-burst 4 -j PRIHVATI $ IPT -A ICMP_IN -p icmp -m icmp - limit echo-reply -m tipa --mp - limit 2 / sec - limit-burst 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp - limit tipa -mpmp-type-unreachable -m limit - limit 2 / sec --limit-burst 4 -j PRIHVATITE $ IPT -A ICMP_IN -p icmp -m icmp - vremenski prekoračen limit -icmp-type --limit 2 / sec --limit-burst 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp - parametar -icmp-type-problem -m limit --limit 2 / sec --limit-burst 4 -j PRIHVATITE IPT -A ICMP_IN -j RETURN $ IPT -N UDP_IN $ IPT -A ULAZ!  -i lo -p udp -j UDP_IN $ IPT -A UDP_IN!  -i lo!  -p udp -f -j ULOG --ulog-prefiks IN_UDP_FRAGMENTED $ IPT -A UDP_IN -p udp -m udp - sport dužine 53 m!  --length 28: 576 -j ULOG --ulog-prefiks IN_UDP_DNS_INVALIDSIZE $ IPT -A UDP_IN -p udp -m udp --dport 53 -m -state --state NOVO -j ULOG --ulog-prefiks IN_UDP_DNSREQUEST $ IPT - A UDP_IN -p udp -m udp --dport 53 -m -state --state NOVO -j ODBIJANJE --reject-with icmp-port-unreachable $ IPT -A UDP_IN -p udp -m udp!  - sport 53!  -s $ IPEXTBLK!  -d $ IPBCAST -m stanje - stanje NOVO -j ULOG --ulog-prefiks IN_UDP $ IPT -A UDP_IN -p udp -m udp -m stanje - stanje USTANOVLJENO, VEZANO -j PRIHVATI $ IPT -A UDP_IN -j VRATITE $ IPT -N TCP_IN $ IPT -A ULAZ!  -i lo -p tcp -j TCP_IN $ IPT -A TCP_IN!  -i lo!  -p tcp -f -j ULOG --ulog-prefiks IN_TCP_FRAGMENTED $ IPT -A TCP_IN -p tcp -m tcp --sport 53 -m stanje - stanje USTANOVLJENO, POVEZANO -m dužine!  --dužina 513: 1500 -j ULOG --ulog-prefiks IN_TCP_DNS_INVALIDSIZE $ IPT -A TCP_IN -p tcp -m tcp --dport 53 -m stanje - stanje NOVO -j ULOG --ulog-prefiks IN_TCP_DNS $ IPT -A TCP_IN -p tcp -m tcp --dport 53 -m stanje --država NOVO -j ODBIJANJE --reject-with icmp-port-nedostupno $ IPT -A TCP_IN -p tcp -m tcp -m multiport!  --dports 80,443 -m state --state NEW -j ULOG --ulog-prefix IN_TCP $ IPT -A TCP_IN -p tcp -m tcp -m multiport --dports 80,443 -m state --state NEW -m hashlimit - hashlimit -do 4 / sek --hashlimit-burst 16 --hashlimit-mode srcip --hashlimit-name navreq -j PRIHVATI $ IPT -A TCP_IN -p tcp -m tcp -m multiport --dports 80,443 -m stanje - stanje -m ograničen!  --connlimit-over 16 -j ACCEPT $ IPT -A TCP_IN -p tcp -m tcp -m multiport! 

S prethodnom konfiguracijom, naš VPS trebao bi biti razumno osiguran, ali ako želimo, možemo ga osigurati malo više, za što možemo koristiti neka naprednija pravila.

Ne dopuštaju svi VPS instaliranje dodatnih modula za netfilter, ali vrlo koristan je psd, koji vam omogućava izbjegavanje skeniranja priključaka. Nažalost, ovaj modul po defaultu nije integriran u netfilter, pa je potrebno instalirati određene pakete, a zatim izgraditi modul:

aptitude -RvW install iptables-dev xtables-addons-source modul-asistent modul-asistent --verbose --text-mode auto-install xtables-addons-source

Jednom kada je gore navedeno, možemo dodati pravilo poput ovog:

iptables -A INPUT -m psd --psd-prag-težine 15 --psd-odgoda-prag 2000 --psd-lo-port-težina 3 --psd-hi-ports-težina 1 -j ULOG --ulog- prefiks IN_PORTSCAN

Prethodno pravilo u osnovi znači da ćemo stvoriti brojač koji će se povećavati za 3 svaki put kad se pokuša pristupiti portu nižem od 1024 i za 1 svaki put kada se pokuša pristupiti portu višem od 1023, a kada ovaj brojač dostigne 15 u periodu kraćem od 20 sekundi, pakete će registrovati ulog kao pokušaj lučkog skeniranja. Paketi se i dalje mogu odbaciti odjednom, ali u ovom slučaju namjeravamo koristiti fail2ban, koju ćemo konfigurirati kasnije.

Jednom kada se kreiraju pravila, moramo poduzeti određene mjere predostrožnosti da bi bile postojane, u protivnom ćemo ih izgubiti kada se poslužitelj ponovo pokrene. Postoji nekoliko načina da se to postigne; U ovom uputstvu koristit ćemo iptables-persistent paket koji smo instalirali na početku, a koji pohranjuje pravila u /etc/iptables/rules.v4 y /etc/iptables/rules.v6 za ipv6.

iptables-save> /etc/iptables/rules.v4

U stvari, iako upotreba ipv6 na Kubi još nije široko rasprostranjena, mogli bismo stvoriti neka osnovna pravila:

IPT = $ (koji ip6tables) $ IPT -P INPUT DROP $ IPT -P NAPRED DROP $ IPT -P IZLAZ PRIHVATI $ IPT -A ULAZ -i lo -j PRIHVATI $ IPT -A ULAZ! -i lo -m state --state USTANOVLJENO, POVEZANO -j PRIHVATI poništeno IPT

Ova pravila također mogu biti postojana:

ip6tables-save> /etc/iptables/rules.v6

Konačno, radi veće sigurnosti čistimo registar zaštitnog zida i ponovo pokrećemo usluge:

echo -n> /var/log/firewall.log servis logrotate restart service ulogd restart service iptables-persistent restart

Nginx

Koristit ćemo Nginx kao web server, jer VPS-ovi obično imaju smanjenu količinu RAM-a u odnosu na pravi server, tako da je općenito prikladno imati nešto lakše od Apachea.

Prije konfiguriranja Nginxa, kreiraćemo certifikat (bez lozinke) za upotrebu preko HTTPS-a:

cd / etc / nginx openssl genrsa -des3 -out cert.key 4096 cp -v cert.key cert.key.original openssl req -new -key cert.key -out cert.csr openssl rsa -in cert.key.original - out cert.key openssl x509 -req -days 365 -in cert.csr -signkey cert.key -out cert.crt

Jednom kada se to napravi, kreiraćemo datoteku lozinke za korisnika "elusuario":

htpasswd -c .htpasswd korisnika

Dalje ćemo izmijeniti datoteku / etc / nginx / sites-available / default za postavljanje zadanih postavki web mjesta. Moglo bi izgledati ovako:

server {server_name localhost; index index.html index.htm default.html default.htm; root / var / www; location / {# postavite redoslijed provjere i stranicu za učitavanje, ako URI nije pronađen try_files $ uri $ uri / /index.html; }} server {preslušati 127.0.0.1:443; ime_poslužitelja localhost; index index.html index.htm default.html default.htm; root / var / www; ssl on; ssl_certificate cert.crt; ssl_certificate_key cert.key; ssl_session_timeout 5m; # Omogući HTTPS samo preko TLS-a (sigurnije od SSL-a) ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # dajte prednost šiframa visoke čvrstoće [HIGH], # premjestite šifre srednje snage [SREDNJE] na kraj liste, # onemogućite šifre niske čvrstoće [LOW] (40 i 56 bitova) # onemogućite šifre algoritmima izvoza [ EXP] # onemogući null šifre [eNULL], bez provjere autentičnosti [aNULL], SSL (verzije 2 i 3) i DSS (dozvoljavaju samo ključeve do 1024 bita) ssl_ciphers VISOKO: + SREDNJE :! LOW :! EXP:! ANULL :! eNULL :! SSLv3 :! SSLv2 :! DSS; # Preferirajte metode šifriranja poslužitelja (po defaultu se koriste klijentske) ssl_prefer_server_ciphers on; location / {# enable authentication auth_basic "Prijava"; auth_basic_user_file /etc/nginx/.htpasswd; # postavite redoslijed provjere i učitavanje koda stranice, ako URI try_files $ uri $ uri / = 404 nije pronađen; # dopustiti stvaranje indeksa za autorizirane korisnike sa autentifikacijom; autoindex_exact_size isključen; autoindex_localtime uključen; }}

Provjeravamo je li konfiguracija ispravna:

nginx -t

Konačno, ponovo pokrećemo uslugu:

servis nginx restart

Fail2Ban

Prije početka konfiguriranja Fail2Ban, radi veće sigurnosti zaustavljamo uslugu i čistimo registar:

fail2ban-client stop echo -n> /var/log/fail2ban.log

Dalje kreiramo konfiguracijsku datoteku /etc/fail2ban/jail.local sa sljedećim prilagođenim sadržajem:

# Prilagođena konfiguracijska datoteka /etc/fail2ban/jail.local # [DEFAULT] findtime = 43200; 12 sati bantime = 86400; 1 dan maxretry = 3; zabrana će stupiti na snagu nakon 4. pokušaja [ssh] enabled = false [nginx-auth] enabled = true filter = nginx-auth action = iptables-multiport [name = NoAuthFailures, port = "http, https"] logpath = / var / log / nginx * / * greška * .log [nginx-badbots] omogućen = true filter = apache-badbots action = iptables-multiport [name = BadBots, port = "http, https"] logpath = / var / log / nginx * /*access*.log bantime = 604800; 1 nedelja maxretry = 0 [nginx-login] omogućeno = true filter = nginx-login action = iptables-multiport [name = NoLoginFailures, port = "http, https"] logpath = / var / log / nginx * / * pristup *. log bantime = 1800; 30 minuta [nginx-noscript] omogućeno = true action = iptables-multiport [name = NoScript, port = "http, https"] filter = nginx-noscript logpath = /var/log/nginx*/*access*.log maxretry = 0 [nginx-proxy] omogućeno = true action = iptables-multiport [name = NoProxy, port = "http, https"] filter = nginx-proxy logpath = /var/log/nginx*/*access*.log bantime = 604800 ; 1 tjedan maxretry = 0 [firewall] omogućen = true action = iptables-multiport [name = Firewall] filter = logpath firewall = /var/log/firewall.log maxretry = 0

Jednom kada se to napravi, kreiramo u direktoriju /etc/fail2ban/filters.d/ sljedeće datoteke:

# /etc/fail2ban/filter.d/nginx-auth.conf # Filtar za autorizaciju # Blokira IP adrese koje ne uspevaju da se autentifikuju pomoću osnovne autentifikacije # [Definicija] failregex = za osnovnu autentifikaciju nije naveden korisnik / lozinka. * klijent: user. * nije pronađen u. * client: korisnik. * neusklađenost lozinke. * klijent: ignoreregex =
# /etc/fail2ban/filter.d/nginx-login.conf # Filter za prijavu # Blokira IP adrese koje ne uspevaju da se autentifikuju pomoću stranice za prijavu veb aplikacije # Skeniraj evidenciju pristupa za HTTP 200 + POST / session => neuspjela prijava # [Definicija ] failregex = ^ -. * POST / sesije HTTP / 1 \ .. "200 ignoreregex =
# /etc/fail2ban/filter.d/nginx-noscript.conf # Noscript filter # Blokiraj IP adrese koje pokušavaju izvršiti skripte kao što su .php, .pl, .exe i druge smiješne skripte. # Podudara se npr. # 192.168.1.1 - - "GET /something.php # [Definicija] failregex = ^ -. * GET. * (\. Php | \ .asp | \ .exe | \ .pl | \ .cgi | \ scgi) ignoreregex =
# /etc/fail2ban/filter.d/proxy.conf # Proxy filter # Blokiraj IP adrese koje pokušavaju koristiti server kao proxy. # Podudara se npr. # 192.168.1.1 - - "GET http://www.something.com/ # [Definicija] failregex = ^ -. * GET http. * Ignoreregex =
# /etc/fail2ban/filter.d/firewall.conf # Filter zaštitnog zida # [Definicija] failregex = ^. * IN_ (INVALID | PORTSCAN | UDP | TCP |). * SRC = . * $ ignoreregex =

Konačno, pokrećemo uslugu i učitavamo konfiguraciju:

fail2ban-service -b fail2ban-ponovno učitavanje klijenta

Verifikacija

Kao posljednji korak, možemo pregledati zapise pomoću rep -f o multitail –slijedi-sve. U stvari, potonja aplikacija nudi prednost u tome što vam omogućava istovremeno gledanje više datoteka i pruža osnovno isticanje sintakse.

U slučaju da račun e-pošte nije konfiguriran u VPS-u, preporučljivo je onemogućiti poruku upozorenja koja se pojavljuje prilikom pokretanja multitaila, za što ćemo izvršiti sljedeću naredbu:

echo "check_mail: 0"> ~ / .multitailrc

U stvari, mogli bismo napraviti alias (4) za brzi pregled dnevnika kratkom naredbom, na primjer, "flog":

alias flog = 'multitail --follow-all /var/log/firewall.log /var/log/fail2ban.log'

1) To su fiktivne vrijednosti.
2) Omogućavanje drugih usluga lako je kad shvatite kako to funkcionira.
3) Za više detalja pokrenite man sudoers.
4) Po želji se može dodati u datoteku ~ / .bash_aliases


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

6 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   MSX rekao je

    Ima nekoliko zanimljivih stvari, +1

  2.   Yukiteru rekao je

    @Hugo ovaj redak u konfiguraciji:

    ssl_protocols SSLv3 TLSv1;

    Uklonio bih SSLv3 s njega jer taj protokol više nije siguran, čak i u Debianu Jessie, mnoge su usluge konfigurirane da izbjegavaju upotrebu tog protokola iz tog razloga.

    Informacije o temi ovdje:

    https://www.linode.com/docs/security/security-patches/disabling-sslv3-for-poodle
    http://disablessl3.com/

    1.    hugo rekao je

      Ideja zapravo nije bila ponuditi glavne usluge putem HTTPS-a, već objasniti kako koristiti port 443 za SSH bez gubitka mogućnosti upotrebe za HTTPS ako je potrebno, ali hvala na upozorenju.

      Svejedno, ažurirao sam članak kako bih malo izmijenio konfiguraciju nginxa i usput uključio neke komentare kako bih malo pojasnio stvari s ovim mehanizmima šifriranja i ispravio neke manje greške.

  3.   Daniel PZ rekao je

    Puno vam hvala na ovom sjajnom uputstvu, sad ću ga primijeniti u praksi! : D, Nastavite tako s Linuxa, uvijek me iznenadite, pozdrav iz Perua.

  4.   Ñandekuera rekao je

    Puno vam hvala na podjeli.

  5.   fernando rekao je

    vrlo dobar vodič i dolazi od bisera sada kad sam započeo s ovim blogom, ali još više sada kada planiram montirati svoj prvi vps i još uvijek imam mnogo problema, ali ovaj me članak izbacio iz mnogih sumnji, hvala i pozdrava