Dnes vám dám několik tipů, jak mít bezpečnější domácí server (nebo o něco větší). Ale než mě zaživa roztrhají.
NIC NENÍ úplně bezpečné
S touto dobře definovanou rezervací pokračuji.
Půjdu po částech a nebudu velmi pečlivě vysvětlovat každý proces. Jen to zmíním a vyjasním jednu nebo druhou věc, aby mohli jít na Google s jasnější představou o tom, co hledají.
Před a během instalace
- Důrazně doporučujeme, aby byl server nainstalován co možná nejmenší. Tímto způsobem zabráníme spuštění služeb, o kterých ani nevíme, že tam jsou, nebo k čemu jsou. Tím je zajištěno, že veškeré nastavení běží samostatně.
- Doporučuje se, aby server nebyl používán jako běžná pracovní stanice. (S jakým čtete tento příspěvek. Například)
- Doufejme, že server nemá grafické prostředí
Rozdělení na oddíly.
- Doporučuje se, aby složky, které uživatel používá, jako "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /" byly přiřazeny k jinému oddílu, než je systémový.
- Kritické složky, například „/ var / log“ (kde jsou uloženy všechny systémové protokoly), jsou umístěny na jiný oddíl.
- Nyní, v závislosti na typu serveru, pokud je to například poštovní server. Složka "
/var/maila / nebo/var/spool/mail»Měl by to být samostatný oddíl.
Heslo.
Není žádným tajemstvím, že heslo uživatelů systému a / nebo jiných typů služeb, které je používají, musí být zabezpečené.
Doporučení jsou:
- To neobsahuje: Vaše jméno, Jméno vašeho mazlíčka, Jméno příbuzných, Zvláštní data, Místa atd. Na závěr. Heslo by nemělo mít nic, co by se vás týkalo, cokoli, co vás obklopuje nebo váš každodenní život, ani by nemělo mít nic, co by se týkalo samotného účtu. příklad: twitter # 123.
- Heslo musí také vyhovovat parametrům, jako jsou: Kombinujte velká a malá písmena, číslice a speciální znaky. příklad: DiAFsd · 354 $ ″
Po instalaci systému
- Je to něco osobního. Rád ale odstraním uživatele ROOT a přidělím všechna oprávnění jinému uživateli, takže se vyhnu útokům na tohoto uživatele. Být velmi běžný.
- Je velmi praktické přihlásit se k odběru seznamu adresátů, kde jsou oznamovány chyby zabezpečení distribuce, kterou používáte. Kromě blogů, bugzilla nebo jiných instancí, které vás mohou varovat před možnými chybami.
- Jako vždy se doporučuje neustálá aktualizace systému i jeho komponent.
- Někteří lidé také doporučují zabezpečit Grub nebo LILO a náš BIOS pomocí hesla.
- Existují nástroje, jako je „chage“, které umožňují uživatelům být nuceni měnit své heslo pokaždé X, kromě minimálního času, na který musí počkat, a dalších možností.
Existuje mnoho způsobů, jak zabezpečit náš počítač. Vše výše uvedené bylo před instalací služby. A stačí zmínit pár věcí.
Existuje poměrně rozsáhlá příručka, která stojí za přečtení. dozvědět se o tomto obrovském moři možností. Postupem času se naučíte tu či onou maličkost. A uvědomíte si, že vždy chybí ... Vždy ...
Pojďme si tedy zajistit trochu víc SLUŽBY. Moje první doporučení je vždy: «NENECHÁVEJTE VÝCHOZÍ KONFIGURACE». Vždy přejděte do konfiguračního souboru služby, přečtěte si něco o tom, co každý parametr dělá, a nenechávejte jej tak, jak je nainstalován. Vždy to přináší problémy.
Nicméně:
SSH (/ etc / ssh / sshd_config)
V SSH můžeme dělat mnoho věcí, aby nebylo tak snadné ho porušit.
Například:
-Nepovolte ROOT přihlášení (pokud jste jej nezměnili):
"PermitRootLogin no"
- Nenechte hesla prázdná.
"PermitEmptyPasswords no"
-Změňte port, kde naslouchá.
"Port 666oListenAddress 192.168.0.1:666"
-Autorizovat pouze určité uživatele.
"AllowUsers alex ref me@somewhere" Me @ někde znamená přinutit uživatele, aby se vždy připojoval ze stejné IP adresy.
-Autorizovat konkrétní skupiny.
"AllowGroups wheel admin"
Tipy.
- Je docela bezpečné a téměř povinné ukládat uživatele ssh do klece pomocí chroot.
- Můžete také zakázat přenos souborů.
- Omezte počet neúspěšných pokusů o přihlášení.
Téměř základní nástroje.
Fail2ban: Tento nástroj, který je v repo operacích, nám umožňuje omezit počet přístupů k mnoha typům služeb „ftp, ssh, apache ... atd.“ A zakázat tak ip, které překračují limit pokusů.
Otužilci: Jsou to nástroje, které nám umožňují „zpevnit“ nebo spíše vyzbrojit naši instalaci Firewally nebo jinými instancemi. Mezi nimi "Ztvrdnout a Bastille Linux«
Detektory vetřelců: Existuje mnoho NIDS, HIDS a dalších nástrojů, které nám umožňují předcházet a chránit se před útoky prostřednictvím protokolů a výstrah. Mezi mnoha dalšími nástroji. ExistujeOSSEC«
Na závěr. Toto nebyla bezpečnostní příručka, ale spíše to byla řada položek, které je třeba vzít v úvahu, abychom měli poměrně zabezpečený server.
Jako osobní radu. Přečtěte si hodně o tom, jak zobrazit a analyzovat LOGY, a pojďme se stát několika pitomci Iptables. Čím více softwaru je na serveru nainstalováno, tím je zranitelnější, například CMS musí být dobře spravován, aktualizován a velmi dobře vypadat, jaké doplňky přidáváme.
Později chci poslat příspěvek o tom, jak zajistit něco konkrétního. Pokud tam mohu uvést více podrobností a udělat praxi.
Uloženo v oblíbených!
Zdravím!
Vynikající TIPY, v loňském roce jsem nainstaloval do „důležitého NATIONAL AIRLINE“ několik bezpečnostních a monitorovacích systémů a byl jsem překvapen, když jsem zjistil, že i přes několik desítek milionů dolarů v zařízení (SUN Solaris, Red Hat, VM WARE, Windows Server, Oracle DB atd.), Zabezpečení NIC.
Použil jsem Nagios, Nagvis, Centreon PNP4Nagios, Nessus a OSSEC, heslo root bylo veřejně známé, no, za rok bylo vše vyčištěno, což stálo za to vydělat spoustu peněz, ale také spoustu zkušeností s tímto typem věcí. Nikdy neuškodí vzít v úvahu vše, co jste právě vysvětlili.
Zdravím.
Pěkný. Přímo k mým oblíbeným.
Skvělý článek ... <3
Che, příště můžete pokračovat ve vysvětlování, jak používat ossec nebo jiné nástroje! Velmi dobrý příspěvek! Víc prosím!
V únoru chci na svou dovolenou spolupracovat s poštou a monitorovacími nástroji Nagios.
Zdravím.
Dobrý článek, nic jiného jsem neplánoval na opravu svého PC, abych napsal jeden komplexnější tilin, ale dostal jsi mě před xD. Dobrý příspěvek!
Také bych rád viděl příspěvek věnovaný detektorům narušení. Takto to přidávám k oblíbeným.