Schützen Sie Ihren Heimserver vor externen Angriffen.

Heute werde ich Ihnen einige Tipps geben, wie Sie einen sichereren (oder etwas größeren) Heimserver haben können. Aber bevor sie mich lebend auseinander reißen.

NICHTS IST VOLLSTÄNDIG SICHER

Mit dieser genau definierten Reservierung fahre ich fort.

Ich werde nach Teilen gehen und nicht jeden Prozess sehr sorgfältig erklären. Ich werde es nur erwähnen und die eine oder andere Kleinigkeit klären, damit sie mit einer klareren Vorstellung davon, wonach sie suchen, zu Google gehen können.

Vor und während der Installation

• Es wird dringend empfohlen, den Server so "minimal" wie möglich zu installieren. Auf diese Weise verhindern wir, dass Dienste ausgeführt werden, von denen wir nicht einmal wissen, dass sie vorhanden sind oder wofür sie bestimmt sind. Dies stellt sicher, dass alle Einstellungen selbst ausgeführt werden.
• Es wird empfohlen, den Server nicht als alltägliche Arbeitsstation zu verwenden. (Mit dem Sie diesen Beitrag lesen. Zum Beispiel)
• Ich hoffe, der Server hat keine grafische Umgebung

Partitionierung.

• Es wird empfohlen, die vom Benutzer verwendeten Ordner wie "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /" einer anderen Partition als der Systempartition zuzuweisen.
• Kritische Ordner wie "/ var / log" (in dem alle Systemprotokolle gespeichert sind) werden auf einer anderen Partition abgelegt.
• Nun, abhängig vom Servertyp, wenn es sich beispielsweise um einen Mailserver handelt. Mappe "/var/mail und / oder /var/spool/mail»Sollte eine separate Partition sein.

Passwort.

Es ist für niemanden ein Geheimnis, dass das Kennwort der Systembenutzer und / oder anderer Arten von Diensten, die sie verwenden, sicher sein muss.

Die Empfehlungen sind:

• Das beinhaltet nicht: Ihr Name, Name Ihres Haustieres, Name der Verwandten, besondere Daten, Orte usw. Abschließend. Das Passwort sollte nichts mit Ihnen zu tun haben oder etwas, das Sie oder Ihr tägliches Leben umgibt, noch sollte es etwas mit dem Konto selbst zu tun haben.  Beispiel: Twitter # 123.
• Das Passwort muss auch folgenden Parametern entsprechen: Kombinieren Sie Groß-, Klein-, Zahlen und Sonderzeichen.  Beispiel: DiAFsd · $ 354 ″

Nach der Installation des Systems

• Es ist etwas Persönliches. Ich möchte jedoch den ROOT-Benutzer löschen und alle Berechtigungen einem anderen Benutzer zuweisen, um Angriffe auf diesen Benutzer zu vermeiden. Sehr häufig sein.

• Es ist sehr praktisch, eine Mailingliste zu abonnieren, in der Sicherheitslücken der von Ihnen verwendeten Distribution gemeldet werden. Zusätzlich zu Blogs, Bugzilla oder anderen Instanzen, die Sie vor möglichen Fehlern warnen können.
• Wie immer wird eine ständige Aktualisierung des Systems sowie seiner Komponenten empfohlen.
• Einige Leute empfehlen, auch Grub oder LILO und unser BIOS mit einem Passwort zu sichern.
• Es gibt Tools wie "chage", mit denen Benutzer gezwungen werden können, ihr Kennwort jedes Mal zu ändern, zusätzlich zu der Mindestzeit, die sie darauf warten müssen, und anderen Optionen.

Es gibt viele Möglichkeiten, unseren PC zu sichern. All dies war vor der Installation eines Dienstes. Und erwähne nur ein paar Dinge.

Es gibt ziemlich umfangreiche Handbücher, die es wert sind, gelesen zu werden. um etwas über dieses unermessliche Meer von Möglichkeiten zu lernen. Mit der Zeit lernst du die eine oder andere Sache. Und Sie werden feststellen, dass es immer fehlt .. Immer ...

Lassen Sie uns jetzt etwas mehr sicherstellen DIENSTLEISTUNGEN. Meine erste Empfehlung lautet immer: "VERLASSEN SIE NICHT DIE STANDARDKONFIGURATIONEN". Gehen Sie immer zur Dienstkonfigurationsdatei, lesen Sie ein wenig über die Funktionsweise der einzelnen Parameter und lassen Sie sie nicht bei der Installation. Es bringt immer Probleme mit sich.

Jedoch:

SSH (/ etc / ssh / sshd_config)

In SSH können wir viele Dinge tun, damit es nicht so leicht ist, zu verletzen.

Zum Beispiel:

- Erlaube das ROOT-Login nicht (falls du es nicht geändert hast):

"PermitRootLogin no"

- Lassen Sie Passwörter nicht leer sein.

"PermitEmptyPasswords no"

- Ändern Sie den Port, an dem es lauscht.

"Port 666oListenAddress 192.168.0.1:666"

-Autorisieren Sie nur bestimmte Benutzer.

"AllowUsers alex ref me@somewhere"   Das me @ irgendwo soll diesen Benutzer zwingen, immer eine Verbindung von derselben IP herzustellen.

-Autorisieren Sie bestimmte Gruppen.

"AllowGroups wheel admin"

Tipps.

• Es ist ziemlich sicher und auch fast obligatorisch, SSH-Benutzer durch Chroot einzusperren.
• Sie können auch die Dateiübertragung deaktivieren.
• Begrenzen Sie die Anzahl der fehlgeschlagenen Anmeldeversuche.

Fast unverzichtbare Werkzeuge.

Fail2ban: Mit diesem Tool, das sich in Repos befindet, können wir die Anzahl der Zugriffe auf viele Arten von Diensten "FTP, SSH, Apache ... usw." begrenzen und die IPs verbieten, die die Anzahl der Versuche überschreiten.

Härter: Sie sind Werkzeuge, mit denen wir unsere Installation mit Firewalls und / oder anderen Instanzen "härten" oder vielmehr ausrüsten können. Darunter "Härten und Bastille Linux«

Eindringlingsdetektoren: Es gibt viele NIDS, HIDS und andere Tools, mit denen wir uns durch Protokolle und Warnungen vor Angriffen schützen können. Unter vielen anderen Werkzeugen. Existiert "OSSEC«

Abschließend. Dies war kein Sicherheitshandbuch, sondern eine Reihe von Punkten, die berücksichtigt werden mussten, um einen ziemlich sicheren Server zu haben.

Als persönlicher Rat. Lesen Sie viel darüber, wie Sie LOGS anzeigen und analysieren, und lassen Sie uns einige Iptables-Nerds werden. Je mehr Software auf dem Server installiert ist, desto anfälliger wird sie. Beispielsweise muss ein CMS gut verwaltet, aktualisiert und überprüft werden, welche Art von Plugins wir hinzufügen.

Später möchte ich einen Beitrag darüber senden, wie man etwas Bestimmtes sicherstellt. Dort, wenn ich mehr Details geben und die Übung machen kann.