Zaštitite svoj kućni server od vanjskih napada.

Danas ću vam dati nekoliko savjeta o tome kako imati sigurniji kućni poslužitelj (ili malo veći). Ali prije nego što me živog rastrgnu.

NIŠTA NIJE POTPUNO SIGURNO

S ovim dobro definiranim upozorenjem, nastavljam.

Idem po dijelovima i neću svaki postupak objašnjavati vrlo pažljivo. Samo ću to spomenuti i pojasniti jedno ili drugo, kako bi mogli otići na Google s jasnijom idejom o onome što traže.

Prije i za vrijeme instalacije

  • Preporučuje se da server bude instaliran što je moguće manje. Na ovaj način sprečavamo pokretanje usluga za koje ni sami ne znamo da li postoje ili za šta služe. Ovo osigurava da se sva podešavanja izvršavaju samostalno.
  • Preporučuje se da se server ne koristi kao svakodnevna radna stanica. (Uz koji čitate ovaj post. Na primjer)
  • Nadam se da server nema grafičko okruženje

Pregrađivanje.

  • Preporučuje se da se mape koje korisnik koristi, poput "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /", dodijele drugoj particiji od sistemske.
  • Kritične mape poput "/ var / log" (tamo gdje su pohranjeni svi sistemski dnevnici) stavljaju se na drugu particiju.
  • Sada, ovisno o tipu servera, ako je na primjer to mail server. Folder "/var/mail i / ili /var/spool/mail»Trebala bi biti zasebna particija.

Lozinka.

Nikome nije tajna da lozinka korisnika sistema i / ili drugih vrsta usluga koje ih koriste mora biti sigurna.

Preporuke su:

  • To ne sadrži: Vaše ime, ime vašeg ljubimca, ime rođaka, posebni datumi, mjesta itd. U zakljucku. Lozinka ne bi smjela sadržavati bilo šta što je povezano s vama, niti bilo što što vas okružuje ili vaš svakodnevni život, niti bi trebala imati bilo što što se odnosi na sam račun.  Primjer: twitter # 123.
  • Lozinka također mora biti u skladu s parametrima kao što su: Kombiniraj velika, mala slova, brojeve i posebne znakove.  Primjer: DiAFsd · $ 354 ″

Nakon instalacije sistema

  • To je nešto lično. Ali volim izbrisati ROOT korisnika i dodijeliti sve privilegije drugom korisniku, pa izbjegavam napade na tog korisnika. Biti vrlo čest.
Datoteka / etc / sudoers mora biti uređena. Tamo dodamo korisnika za kojeg želimo da je ROOT, a zatim brišemo našeg starog super korisnika (ROOT)
  • Vrlo je praktično pretplatiti se na mailing listu gdje oni najavljuju sigurnosne greške distribucije koju koristite. Pored blogova, bugzilla ili drugih slučajeva koji vas mogu upozoriti na moguće greške.
  • Kao i uvijek, preporučuje se stalno ažuriranje sistema kao i njegovih komponenti.
  • Neki ljudi preporučuju i zaštitu Gruba ili LILO-a i našeg BIOS-a lozinkom.
  • Postoje alati poput "chage" koji omogućavaju korisnicima da prisile mijenjati lozinku svaki X put, pored minimalnog vremena koje moraju pričekati i drugih opcija.

Postoji mnogo načina da zaštitimo naš računar. Sve gore navedeno bilo je prije instaliranja usluge. I samo spomenite nekoliko stvari.

Postoje prilično opsežni priručnici koje vrijedi pročitati. da naučite o ovom neizmjernom moru mogućnosti .. S vremenom naučite jedno ili drugo. I shvatit ćete da to uvijek nedostaje .. Uvijek ...

Sad osigurajmo malo više USLUGE. Moja prva preporuka je uvijek: «NE NApuštajte zadane konfiguracije». Uvijek idite u datoteku za konfiguraciju usluge, pročitajte malo o tome što svaki parametar radi i ne ostavljajte ga dok je instaliran. Uvijek sa sobom donosi probleme.

Kako god:

SSH (/ etc / ssh / sshd_config)

U SSH možemo učiniti mnoge stvari tako da ih nije tako lako prekršiti.

Na primjer:

-Ne dozvoli ROOT prijavu (u slučaju da je nisi promijenio):

"PermitRootLogin no"

-Ne dopustite da lozinke budu prazne.

"PermitEmptyPasswords no"

-Promijenite port na kojem sluša.

"Port 666oListenAddress 192.168.0.1:666"

-Autorizirajte samo određene korisnike.

"AllowUsers alex ref me@somewhere"   Me @ negdje je prisiliti tog korisnika da se uvijek poveže s iste IP adrese.

-Odobri određene grupe.

"AllowGroups wheel admin"

Saveti.

  • Prilično je sigurno i također je gotovo obavezno smještanje ssh korisnika u kavez putem chroot-a.
  • Takođe možete onemogućiti prijenos datoteka.
  • Ograničite broj neuspjelih pokušaja prijave.

Gotovo neophodni alati.

Fail2ban: Ovaj alat koji se nalazi u repos-u omogućava nam da ograničimo broj pristupa mnogim vrstama usluga "ftp, ssh, apache ... itd.", Zabranjujući ip koji premašuje ograničenje pokušaja.

Učvršćivači: Oni su alati koji nam omogućavaju da "očvrsnemo", odnosno naoružamo našu instalaciju zaštitnim zidovima i / ili drugim instancama. Među njima "Harden i Bastille Linux«

Detektori uljeza: Postoje mnogi NIDS, HIDS i drugi alati koji nam omogućavaju da se spriječimo i zaštitimo od napada putem dnevnika i upozorenja. Među mnogim drugim alatima. Postoji "OSSEC«

U zakljucku. Ovo nije bio sigurnosni priručnik, već je to bio niz predmeta koje je trebalo uzeti u obzir da bi imali prilično siguran server.

Kao lični savjet. Pročitajte puno o tome kako pregledati i analizirati LOGOVE, i postanimo neki Iptables štreberi. Uz to, što je više softvera instalirano na serveru, to postaje ranjiviji, na primjer CMS-om se mora dobro upravljati, ažurirati ga i dobro pogledati kakve dodatke dodajemo.

Kasnije želim poslati post o tome kako osigurati nešto konkretno. Ako mogu dati više detalja i odraditi praksu.


8 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   elynx rekao je

    Spremljeno u favorite!

    Pozdrav!

  2.   Ivan Barra rekao je

    Izvrsni SAVJETI. Pa, prošle godine instalirao sam u „Važnu NACIONALNU AVIOZIJU“ nekoliko sigurnosnih i nadzornih sistema i iznenadio sam se kad sam saznao da unatoč nekoliko desetaka miliona dolara opreme (SUN Solaris, Red Hat, VM WARE, Windows Server, Oracle DB, itd.), Sigurnost NIŠTA.

    Koristio sam Nagios, Nagvis, Centreon PNP4Nagios, Nessus i OSSEC, root lozinka je bila javno poznata, dobro, u godinu dana sve je to očišćeno, što je vrijedilo zaraditi puno novca, ali i puno iskustva u ovoj vrsti stvar. Nikada ne škodi uzeti u obzir sve ovo što ste upravo objasnili.

    Pozdrav.

  3.   Blaire pascal rekao je

    Lepo. Direktno na moje favorite.

  4.   guzman6001 rekao je

    Odličan članak ... <3

  5.   Huan Ignacio rekao je

    Che, sljedeći put možeš nastaviti objašnjavati kako koristiti ossec ili druge alate! Vrlo dobar post! Još, molim!

    1.    Ivan Barra rekao je

      U februaru, za svoj odmor, želim surađivati ​​s Nagios postom i alatima za praćenje.

      Pozdrav.

  6.   koratsuki rekao je

    Dobar članak, planirao sam samo da popravim svoj računar da napišem jedan sveobuhvatniji tilin, ali vi ste me prestigli xD. Dobar doprinos!

  7.   Arturo Molina rekao je

    Također bih želio vidjeti post posvećen detektorima upada. Ovako ga dodam u favorite.