Protegeix el teu servidor casolà d'atacs externs.

@Jlcmux

5 minuts

En el dia d'avui, els donaré alguns tips d'com tenir un servidor casolà (o una mica més gran) més segur. Però abans que em descuarticen viu.

RES NO ÉS TOTALMENT SEGUR

Amb aquesta excepció ben definida, prossegueixo.

Vaig anar per parts i no vaig a explicar molt detingudament cada procés. Només ho esmentaré i aclariré una que una altra coseta, així podran anar a Googlear amb una idea més clara del que busquen.

Abans i durant la instal·lació

  • És bastant recomanat que el servidor sigui instal·lat el més «minimal» possible. Així prevenim que estiguin corrent serveis que ni tan sols sabem que hi són, ni perquè serveixen. Això assegura que tota la configuració corri per compte propi.
  • Es recomana que el servidor no sigui usat com a estació de treball quotidiana. (Amb la qual aquestes llegint aquest post. Per exemple)
  • Tant de bo el server no tingui un entorn gràfic

Fer particions.

  • Es recomana que les carpetes que són usades per l'usuari com «/ home /» «/ tmp /» «/ var / tmp /» «/ opt /» siguin assignades a una partició diferent de la de el sistema.
  • Carpetes critiques com «/ var / log» (On es guarden tots els logs de sistema) es posi en una partició diferent.
  • Ara bé, depenent de el tipus de servidor, si per exemple és un servidor de correu. La carpeta «/var/mail i / o /var/spool/mail»Hauria de ser una partició a part.

La contrasenya.

Per a ningú és un secret que la contrasenya dels usuaris de sistema i / o altres tipus de serveis que les facin servir, han de ser segures.

Les recomanacions són:

  • Que no contingui: El teu nom, nom de la teva mascota, nom de parents, Dates especials, Llocs, etc. En conclusió. La contrasenya no ha de tenir res relacionat amb tu, o qualsevol cosa que et envolti o sigui de la teva vida quotidiana, tampoc res relacionat amb el compte en si.  Exemple: twitter # 123.
  • La contrasenya també ha de complir amb paràmetres com: Combinar majúscules, minúscules, números i caràcters especials.  Exemple: DiAFsd · $ 354 "

Després de tenir instal·lat el sistema

  • És una cosa personal. Però m'agrada eliminar l'usuari ROOT i assignar-tots els privilegis a un altre usuari, així em puc evitar atacs a aquest usuari. Sent molt comú.
Ha editar el fitxer / etc / sudoers. Allà hi afegim l'usuari que volem que sigui ROOT i després vam eliminar el nostre antic Super Usuari (ROOT)
  • És molt pràctic subscriure a una llista de correu on anunciïn bugs de seguretat de la distribució que facis servir. A més de blocs, bugzilla o altres instàncies que et puguin advertir de possibles Bugs.
  • Com sempre, es recomana una constant actualització de sistema així com dels seus components.
  • Algunes persones recomanen també assegurar el grub o LILO i la nostra BIOS amb una contrasenya.
  • Hi ha eines com «Chagas» que permet obligar els usuaris a canviar la contrasenya cada X temps, a més del temps mínim que han d'esperar per fer-ho i altres opcions.

Hi ha moltíssimes formes d'assegurar el nostre PC. Tot l'anterior va ser abans d'instal·lar seguís un servei. I només esmenti algunes coses.

Existeixen manuals bastant extensos que val la pena llegir. per aprendre sobre aquest immens mar de possibilitats .. Amb el temps vas aprenent una que una altra coseta. I t'adonaràs que sempre falta .. Sempre ...

Ara bé anem assegurar una mica més els SERVEIS. La meva primera recomanació sempre és: «NO DEIXAR LES CONFIGURACIONS PER DEFECTE». Sempre entra a l'arxiu de configuració de l'servei, llegeix una mica sobre que fa cada paràmetre i no ho deixis tal qual s'instal·la. Sempre porta problemes amb si.

Ara bé:

SSH (/ etc / ssh / sshd_config)

Al SSH podem fer moltes coses perquè no sigui tan fàcil de vulnerar.

Per exemple:

-No permetre el login de l'ROOT (En cas que no ho hagis canviat):

"PermitRootLogin no"

-No deixar que les contrasenyes siguin en blanc.

"PermitEmptyPasswords no"

-Canviar el port per on escolta.

"Port 666oListenAddress 192.168.0.1:666"

Autoritzar únicament a certs usuaris.

"AllowUsers alex ref me@somewhere"   Ell em @ somewhere és per a obligar que es connecti sempre des d'una mateixa ip aquest usuari.

Autoritzar grups específics.

"AllowGroups wheel admin"

Consells.

  • És bastant segur i més gairebé obligatori engabiar els usuaris de ssh per mitjà de chroot.
  • Pots també desactivar la transferència d'arxius.
  • Limitar el nombre d'intents de connexió fallits.

Eines gairebé essencials.

fail2ban: Aquesta eina que està en repos, ens permet limitar el nombre d'accessos a molts tipus de serveis «ftp, ssh, apache .. etc» banneando a les ip que excedeixin el límit d'intents.

enduridors: Són eines que ens permeten «endurir» o mes bé armar la nostra instal·lació amb Tallafocs i / o altres instàncies. Entre ells «Harden i Bastille Linux«

Detectors d'intrusos: Hi ha molts NIDS, HIDS i altres eines que permeten prevenir i protegir-nos d'atacs, mitjançant de logs i alertes. Entre moltes altres eines. hi «OSSEC«

Per concloure. Aquest no era un manual de seguretat, més aviat eren una sèrie d'ítems a tenir en compte per tenir un servidor mitjanament segur.

Com a consell personal. Llegeixin molt de com veure i analitzar LOGS, I tornem-nos uns nerds de Iptables. A més, entre més Programari se li instal·li a servidor més vulnerable es fa, per exemple un CMS ha de ser ben administrat, actualitzant-i mirant molt bé que classe de connectors li afegim.

Més endavant vull enviar post de com assegurar una cosa específic. Allà si podre donar mes detalls i fer la practica.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   Elynx va dir
    fa 11 anys

    Saved on favorits!

    Salutacions!

    Respondre a Elynx
  2.   Iván Barra va dir
    fa 11 anys

    Excel·lents TIPS, bé, l'any passat, vaig instal·lar en una «Important LINEA AEREA NACIONAL» diversos sistemes de seguretat i monitoratge i em va sorprendre conèixer que tot i les diverses desenes de milions de dòlars en equip (SUN Solaris, Red Hat, VM WARE , Windows Server, Oracle DB, etc), de seguretat RES.

    Vaig fer servir Nagios, Nagvis, Centreon PNP4Nagios, Nessus i OSSEC, la clau root era de coneixement públic, bé, en un any va quedar tot això sanejat, el que va valer de guanyar molts diners, però a part, molta experiència en aquest tipus de coses. Mai està de més tenir en consideració tot això que acabes d'explicar.

    Salutacions.

    Respondre a Iván Barra
  3.   Blaire Pascal va dir
    fa 11 anys

    Nice. Directe als meus favorits.

    Respondre a Blaire Pascal
  4.   guzman6001 va dir
    fa 11 anys

    Fantàstic article ... <3

    Respondre a guzman6001
  5.   Juan Ignacio va dir
    fa 11 anys

    Che, per a la propera pots continuar-explicant com es fa servir OSSEC o altres eines! Molt bo el post! Més si us plau!

    Respondre a Juan Ignacio
    1.    Iván Barra va dir
      fa 11 anys

      Al febrer, per a les meves vacances, vull cooperar amb un post d'Nagios i eines de monitorització.

      Salutacions.

      Respondre a Iván Barra
  6.   Koratsuki va dir
    fa 11 anys

    Bon article, jo tenia planejat res més reparar el meu PC escriure un una tilin més abastador, però et em adelantaste xD. Bona aportació!

    Respondre a Koratsuki
  7.   Arturo Molina va dir
    fa 11 anys

    A mi també m'agradaria veure un post dedicat a detectors d'intrusos. Igual aquest el afegeixo a favorits.

    Respondre a Arturo Molina