Paŝoj por sekurigi nian VPS

Ĉi tiu lernilo montras kiel prepari kaj sekurigi Virtualan Privatan Servilon (VPS) per Debian GNU / Linukso. Antaŭ ol ni komenciĝas, iuj aferoj estas supozataj:

  1. Vi havas mezan nivelon de familiareco kun GNU / Linukso.
  2. Estas VPS por persona uzo, al kiu ni havas aliron per SSH.
  3. La VPS havas la dediĉitan eksteran ipv4 250.250.250.155 kaj nia provizanto posedas la blokon 250.250.0.0/16. (1)
  4. En nia VPS ni havos nur http, https kaj ssh-servojn ebligitaj por aliro de ekstere.
  5. Ekstera DNS ne ebligos, ĉar ĝi kutime okazas en la panelo de nia provizanto. (2)
  6. Ĝi funkcios kiel superuzanto.

Instalado

Kiel unua paŝo, ni ĝisdatigu la servilon kaj instalu iujn pakaĵojn, kiujn ni bezonos:

# aptitude update & aptitude safe-upgrade # aptitude -RvW install dropbear gesftpserver sslh iptables-persistent ulogd fail2ban nginx-light apache2-utils dnsutils telnet ghostscript poppler-utils zip unzip unrar-free p7zip-full malpli multitail tee mc

agordo

Nun ni kreos laboran uzanton. Funkcii kiel radiko en servilo estas nesekura, do ni unue kreos specialan uzanton:

adduser operatoro usermod -aG sudo operatoro

La unua komando kreas la uzanton de la telefonisto, la dua aldonas ĝin al la grupo sudo, kiu permesos lanĉi programojn kiel radikon.

Ĝustigu permesojn por superuzantoj

Por labori regule ni uzos la uzanton telefonisto antaŭe kreita, ni devas agordi la komandajn ekzekutajn opciojn kiel superuzanto, por kiu ni plenumas la jenan komandon:

visudo

Ĉi tiu komando esence permesas modifi la dosieron / etc / sudoers; en kiu ni enhavu ĉi tiujn liniojn:

Defaŭltoj env_reset, timestamp_timeout = 0% sudo ALL = (ALL: ALL) ALL

En la unua linio la opcio aldoniĝas al la aprioraj valoroj timestamp_timeout kiu permesas al vi agordi la eksvalidiĝan tempon (en minutoj) de la pasvorto kiam la sudo-komando estas plenumita. La apriora estas 5, sed ĉi tio estas kelkfoje nesekura pro du kialoj:

  1. Se ni pretervole lasas nian komputilon ensalutita antaŭ ol la pasvorto eksvalidiĝos, iu povus plenumi ordonon kiel superuzanto sen limigoj.
  2. Se per nescio ni lanĉas programon aŭ skripton, kiu enhavas malican kodon antaŭ ol la pasvorto eksvalidiĝos, la programo povus aliri nian sistemon kiel superuzanto, sen nia eksplicita konsento.

Do por eviti riskojn, ni starigis la valoron al nulo, tio estas, ĉiufoje kiam la sudo-ordono estas plenumita, la pasvorto devos esti enigita. Se negativa valoro estas agordita kiel -1, la efiko estas, ke la pasvorto neniam eksvalidiĝas, kio produktus la kontraŭan rezulton de tio, kion ni volas.

En la dua linio klarigas, ke la sudo-grupo povas plenumi iun ajn komandon en iu ajn komputilo, kio estas kutima, kvankam ĝi povas esti ĝustigita. (3) Estas tiuj, kiuj por facileco metas la linion jene por eviti devi tajpi la pasvorton:

% sudo ĈIUJ = (ĈIUJ: ĈIUJ) NOPASSWD: ĈIUJ

Tamen, kiel ni klarigis antaŭe, tio estas riska, kaj tial ĝi ne estas rekomendinda.

Malŝalti rekomencon

Pro sekurecaj kialoj, ni ankaŭ malŝaltos la rekomencon per la klavokombino Stir + Alt + Del, por kio ni devas aldoni ĉi tiun linion en la dosiero / etc / inittab:

ca: 12345: ctrlaltdel: / bin / echo "Stir + Alt + Del estis malebligita."

Anstataŭigu OpenSSH per DropBear

Plej multaj VPS venas kun OpenSSH instalita, kio certe estas tre utila, sed krom se ni bezonas ekspluati ĉiujn funkciojn de OpenSSH, ekzistas pli malpezaj alternativoj por VPS, kiel ekzemple gutoportisto, kiu kutime sufiĉas por regula uzo. Tamen malavantaĝo de ĉi tiu aplikaĵo estas, ke ĝi ne venas kun integra SFTP-servilo, kaj tial ni instalis la pakaĵon komence. gesftpserver.

Por agordi Dropbear, ni modifos la dosieron / etc / default / dropbear tiel ke ĝi enhavas ĉi tiujn du liniojn:

NO_START = 0 DROPBEAR_EXTRA_ARGS = "- w -p 127.0.0.1:22 -I 1200 -m"

La unua linio simple ebligas la servon, kaj la dua faras plurajn aferojn:

  1. Evitu radikan aliron.
  2. Ĝi aŭskultas la servon ĉe la haveno 22 de la loka interfaco (ni klarigos kial poste).
  3. Agordas la atendotempon (20 minutoj).

SSLH

Haveno 22 (SSH) estas konata kaj ĝenerale estas unu el la unuaj, kiujn retpiratoj provas rompi, do ni uzos la havenon 443 (SSL) anstataŭe. Okazas, ke ĉi tiu haveno estas uzata por sekura retumado per HTTPS.

Por ĉi tio ni uzos la sslh-pakaĵon, kiu estas nenio pli ol plurkomputilo, kiu analizas la pakaĵojn, kiuj alvenas al la haveno 443, kaj direktas ilin interne al unu aŭ alia servo, depende de ĉu la speco de trafiko estas SSH aŭ SSL.

SSLH ne povas aŭskulti sur interfaco, kie alia servo jam aŭskultas, tial ni antaŭe igis Dropbear aŭskulti sur la loka interfaco.

Nun ni bezonas indiki al sslh la interfacon kaj la havenon, per kiu ĝi devas aŭskulti, kaj kien redirekti la pakaĵojn laŭ la speco de servo, kaj por tio ni modifos la agordan dosieron / etc / default / sslh:

DAEMON = / usr / sbin / sslh DAEMON_OPTS = "- uzanto sslh --listen 250.250.250.155:443 --ssh 127.0.0.1:22 --ssl 127.0.0.1:443 --pidfile / var / run / sslh / sslh. pid "RUN = jes

Fine ni rekomencas la servojn:

service ssh stop && service dropbear start && service sslh restart

Post la antaŭa komando, nia sekura sesio probable interrompiĝos, tiaokaze sufiĉas ensaluti denove, sed ĉi-foje kun la labora uzanto kaj uzante la havenon 443. Se la kunsido ne estas interrompita, estas konsilinde fermi ĝin kaj rekomenci.kun la taŭgaj valoroj.

Se ĉio funkcias ĝuste, ni povas daŭre funkcii kiel root kaj se ni volas, malinstalu OpenSSH:

sudo su - aptitude -r purge openssh-server

Fajroŝirmilo

La sekva afero, kiun ni faros, estas apartigi la protokolojn de la fajroŝirmilo en la apartan dosieron /var/log/firewall.log por faciligi plian analizon, tial ni instalis la pakaĵon ulogd ĉe la ekfunkciigo. Por tio ni redaktos la dosieron /etc/logd.conf por ĝustigi la koncernan sekcion:

[LOGEMU] file = "/ var / log / firewall.log" sync = 1

Poste ni modifos la dosieron pri rotacia rekordo / etc / logrotate / ulogd konservi ĉiutagan rotacion (kun dato) kaj konservi kunpremitajn salvojn en la adresaro / var / log / ulog /:

/var/log/ulog/*.log /var/log/firewall.log {ĉiutaga dato teksto mankanta kunpremi prokraston kunpremi kunhavajn skriptojn kreu 640 root adm postrotate /etc/init.d/ulogd reŝargi mv /var/log/firewall.log-* .gz / var / log / ulog / endscript}

Tiam ni kreos la retfiltrajn regulojn plenumante la jenajn:

IPT = $ (kiu iptables) IPEXT = 250.250.250.155 IPEXTBLK = 250.250.0.0 / 16 IPBCAST = 255.255.255.255 $ IPT -F $ IPT -X $ IPT -Z $ IPT -A INPUT -i lo -j ACCEPT $ IPT - P INPUT DROP $ IPT -P FORWARD DROP $ IPT -P OUTPUT ACCEPT $ IPT -A INPUT -m state --state INVALID -j ULOG --ulog-prefix IN_INVALID $ IPT -A INPUT -p igmp -j ULOG --ulog -prefikso IN_IGMP $ IPT -A INPUT -m pkttype --pkt-type broadcast -j ULOG --ulog-prefix IN_BCAST $ IPT -A INPUT -m pkttype --pkt-type multicast -j ULOG --ulog-prefix IN_MCAST $ IPT -A FORWARD -j ULOG --ulog-prefix FORWARD $ IPT -N ICMP_IN $ IPT -A INPUT!  -i lo -p icmp -j ICMP_IN $ IPT -A ICMP_IN -p icmp -f -j ULOG --ulog-prefix IN_ICMP_FRAGMENTED $ IPT -A ICMP_IN -p icmp -m icmp -m length!  --length 28: 1322 -j ULOG --ulog-prefix IN_ICMP_INVALIDSIZE $ IPT -A ICMP_IN -p icmp -m icmp -m hashlimit --hashlimit-above 4 / sec --hashlimit-mode srcip --hashlimit-srcmask 24 - -hashlimit-name icmpflood -j ULOG --ulog-prefix IN_ICMP_FLOOD $ IPT -A ICMP_IN -p icmp -m icmp -m hashlimit --hashlimit-upto 64kb / min --hashlimit-mode srcip --hashlimit-srcmask 24 - hashlimit -name icmpattack -j ULOG --ulog-prefix IN_ICMP_FLOOD $ IPT -A ICMP_IN -p icmp -m icmp -m u32!  --u32 "0x4 & 0x3fff = 0x0" -j ULOG --ulog-prefix IN_ICMP_ATTACK $ IPT -A ICMP_IN -p icmp -m icmp!  --icmp-type echo-request -m state --state NEW -j ULOG --ulog-prefix IN_ICMP_INVALID $ IPT -A ICMP_IN -p icmp -m icmp --icmp-type echo-request -j ULOG --ulog- prefikso IN_ICMP $ IPT -A ICMP_IN -p icmp -m icmp --icmp-type echo-request -m limit --limit 1 / sec --limit-burst 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp --icmp-type echo-reply -m limit --limit 2 / sec --limit-burst 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp --icmp-type destination-unreachable -m limit - limit 2 / sec --limit-burst 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp --icmp-type time-paid -m limit --limit 2 / sec --limit-burst 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp --icmp-type parametro-problemo -m limo --limit 2 / sec --limit-burst 4 -j ACCEPT $ IPT -A ICMP_IN -j REVENO $ IPT -N UDP_IN $ IPT -A ENIGO!  -i lo -p udp -j UDP_IN $ IPT -A UDP_IN!  -i jen!  -p udp -f -j ULOG --ulog-prefix IN_UDP_FRAGMENTED $ IPT -A UDP_IN -p udp -m udp --sport 53 -m long!  --length 28: 576 -j ULOG --ulog-prefix IN_UDP_DNS_INVALIDSIZE $ IPT -A UDP_IN -p udp -m udp --dport 53 -m -state --state NEW -j ULOG --ulog-prefix IN_UDP_DNSREQUEST $ IPT - A UDP_IN -p udp -m udp --dport 53 -m -state --state NEW -j REJECT --reject-with icmp-port-unreachable $ IPT -A UDP_IN -p udp -m udp!  --sporto 53!  -s $ IPEXTBLK!  -d $ IPBCAST -m state --state NEW -j ULOG --ulog-prefix IN_UDP $ IPT -A UDP_IN -p udp -m udp -m state --state ESTABLISHED, RELATED -j ACCEPT $ IPT -A UDP_IN -j REVENU $ IPT -N TCP_IN $ IPT -A ENIGO!  -i lo -p tcp -j TCP_IN $ IPT -A TCP_IN!  -i jen!  -p tcp -f -j ULOG --ulog-prefix IN_TCP_FRAGMENTED $ IPT -A TCP_IN -p tcp -m tcp --sport 53 -m state --state ESTABLISHED, RELATED -m length!  --length 513: 1500 -j ULOG --ulog-prefix IN_TCP_DNS_INVALIDSIZE $ IPT -A TCP_IN -p tcp -m tcp --port 53 -m state --state NEW -j ULOG --ulog-prefix IN_TCP_DNS $ IPT -A TCP_IN -p tcp -m tcp --port 53 -m state --state NEW -j REJECT --reject-with icmp-port-unreachable $ IPT -A TCP_IN -p tcp -m tcp -m multiport!  --portoj 80,443 -m ŝtato --state NOVA -j ULOG --ulog-prefikso IN_TCP $ IPT -A TCP_IN -p tcp -m tcp -m multiporto --portoj 80,443 -m ŝtato --stato NOVA -m hashlimit - hashlimit -upto 4 / sec --hashlimit-burst 16 --hashlimit-mode srcip --hashlimit-name navreq -j ACCEPT $ IPT -A TCP_IN -p tcp -m tcp -m multiport --dports 80,443 -m state - state ESTABLISHED -m connlimit!  --connlimit-above 16 -j ACCEPT $ IPT -A TCP_IN -p tcp -m tcp -m multiport! 

Kun la antaŭa agordo, nia VPS devas esti sufiĉe sekura, sed se ni volas, ni povas certigi ĝin iom pli, por kio ni povas uzi iujn pli progresintajn regulojn.

Ne ĉiuj VPS permesas la instaladon de ekstraj moduloj por netfilter, sed tre utila PSD, kiu permesas vin eviti havenajn esplorojn. Bedaŭrinde ĉi tiu modulo ne estas integrita al netfilter defaŭlte, do necesas instali iujn pakaĵojn kaj poste konstrui la modulon:

aptitude -RvW install iptables-dev xtables-addons-source module-assistant module-assistant --verbose --text-mode auto-install xtables-addons-source

Post kiam la supre finita, ni povas aldoni tian regulon:

iptables -A INPUT -m psd --psd-weight-threshold 15 --psd-delay-threshold 2000 --psd-lo-port-weight 3 --psd-hi-ports-weight 1 -j ULOG --ulog- prefikso IN_PORTSCAN

La antaŭa regulo baze signifas, ke ni kreos sumigilon, kiu pliiĝos per 3 ĉiufoje kiam oni provas aliri havenon pli malaltan ol 1024 kaj je 1 ĉiun fojon oni provas aliri havenon pli altan ol 1023, kaj kiam ĉi tiu nombrilo atingas 15 en periodo de malpli ol 20 sekundoj, la pakoj estos registritaj de ulog kiel provo de portskanado. La pakaĵetoj ankoraŭ povus esti forĵetitaj tuj, sed ĉi-kaze ni intencas uzi malsukcesi2ban, kiun ni agordos poste.

Post kiam la reguloj estas kreitaj, ni devas preni iujn antaŭzorgojn por persistigi ilin, alie ni perdos ilin kiam la servilo rekomenciĝos. Estas pluraj manieroj plenumi ĉi tion; En ĉi tiu lernilo ni uzos la iptables-persistan pakaĵon, kiun ni instalis komence, en kiu konservas la regulojn /etc/iptables/rules.v4 y /etc/iptables/rules.v6 por ipv6.

iptables-save> /etc/iptables/rules.v4

Fakte, kvankam la uzo de ipv6 en Kubo ankoraŭ ne estas disvastigita, ni povus krei iujn bazajn regulojn:

IPT = $ (kiuj ip6tabloj) $ IPT -P ENIGA GUTO $ IPT -P AVANTA GUTO $ IPT -P ELITO AKCEPTI $ IPT -A ENIGO -i lo -j AKCEPTI $ IPT -A ENIGO! -i lo -m state --state STARED, RELATED -j ACCEPT unset IPT

Ĉi tiuj reguloj ankaŭ povas esti persistaj:

ip6tables-save> /etc/iptables/rules.v6

Fine por pli granda sekureco, ni purigas la registron de la fajroŝirmilo kaj rekomencas la servojn:

echo -n> /var/log/firewall.log service logrotate restart service ulogd restart service iptables-persistent restart

Nginx

Ni uzos Nginx kiel retservilo, ĉar VPS-oj emas redukti kvanton da RAM kompare kun reala servilo, do ĝenerale estas bona ideo havi ion pli malpezan ol Apache.

Antaŭ agordi Nginx, ni kreos atestilon (sen pasvorto) por uzi per HTTPS:

cd / etc / nginx openssl genrsa -des3 -out cert.key 4096 cp -v cert.key cert.key.original openssl req -new -key cert.key -out cert.csr openssl rsa -in cert.key.original - ekster cert.key openssl x509 -req -days 365 -in cert.csr -signkey cert.key -out cert.crt

Post kiam ĉi tio estos farita, ni kreos pasvortan dosieron por la uzanto "elusuario":

htpasswd -c .htpasswd la uzanto

Poste ni modifos la dosieron / etc / nginx / sites-available / default agordi la defaŭltajn retejajn preferojn. Ĝi povus aspekti tiel:

servilo {servilo_nomo loka gastiganto; indekso index.html index.htm default.html default.htm; radiko / var / www; location / {# agordi la ordon de konfirmo kaj la paĝon ŝarĝotan, se la URI ne troviĝas provu_dosierojn $ uri $ uri / /index.html; }} servilo {aŭskultu 127.0.0.1:443; servilo_nomo loka gastiganto; indekso index.html index.htm default.html default.htm; radiko / var / www; ssl on; ssl_certificate cert.crt; ssl_certificate_key cert.key; ssl_session_timeout 5m; # Ebligu HTTPS nur per TLS (pli sekura ol SSL) ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # donu preferon al ĉifroj de alta forto [ALTA], # movu ĉifrojn de meza forto [MEZUMA] ĝis la fino de la listo, # malŝalti ĉifrojn de malalta forto [LOW] (40 kaj 56 bitoj) # malŝalti ĉifrojn kun eksportaj algoritmoj [ EXP] # malŝalti nulajn ĉifrojn [eNULL], sen aŭtentikigo [aNULL], SSL (versioj 2 kaj 3) kaj DSS (nur permesas ŝlosilojn ĝis 1024 bitoj) ssl_ciphers ALTA: + MEDIUM :! LOW :! EXP:! ANULL :! eNULL :! SSLv3 :! SSLv2 :! DSS; # Preferu la ĉifrajn metodojn de la servilo (defaŭlte la kliento estas uzata) ssl_prefer_server_ciphers on; location / {# enable authentication auth_basic "Ensaluto"; auth_basic_user_file /etc/nginx/.htpasswd; # agordi la ordon de konfirmo kaj la paĝan kodon por ŝarĝi, se la URI-provaj dosieroj $ uri $ uri / = 404 ne troviĝas; # permesi la kreon de indekso por aŭtentikigitaj uzantoj aŭtomate; autoindex_exact_size for; autoindex_localtime on; }}

Ni kontrolas, ke la agordo ĝustas:

nginx -t

Fine ni rekomencas la servon:

Servo nginx rekomenci

Fail2Ban

Antaŭ ol komenci agordi Fail2Ban, por pli granda sekureco ni ĉesigas la servon kaj purigas la registron:

fail2ban-client stop echo -n> /var/log/fail2ban.log

Poste ni kreas la agordan dosieron /etc/fail2ban/jail.local kun la jena laŭmenda enhavo:

# Propra agorda dosiero /etc/fail2ban/jail.local # [DEFAULT] findtime = 43200; 12 horoj bantime = 86400; 1 tago maxretry = 3; malpermeso ekvalidos post la 4-a provo [ssh] enabled = falsa [nginx-auth] enabled = vera filtrilo = nginx-auth action = iptables-multiport [name = NoAuthFailures, port = "http, https"] logpath = / var / log / nginx * / * eraro * .log [nginx-badbots] ebligita = vera filtrilo = apache-badbots action = iptables-multiport [name = BadBots, port = "http, https"] logpath = / var / log / nginx * /*access*.log bantime = 604800; 1 semajno maxretry = 0 [nginx-login] ebligita = vera filtrilo = nginx-login action = iptables-multiport [name = NoLoginFailures, port = "http, https"] logpath = / var / log / nginx * / * access *. log bantime = 1800; 30 minutoj [nginx-noscript] ebligita = vera ago = iptables-multiport [name = NoScript, port = "http, https"] filter = nginx-noscript logpath = /var/log/nginx*/*access*.log maxretry = 0 [nginx-proxy] enabled = vera ago = iptables-multiport [name = NoProxy, port = "http, https"] filter = nginx-proxy logpath = /var/log/nginx*/*access*.log bantime = 604800 ; 1 semajno maxretry = 0 [fajroŝirmilo] ebligita = vera ago = iptables-multiport [nomo = Firewall] filter = fajroŝirmilo logpath = /var/log/firewall.log maxretry = 0

Post kiam ĉi tio estas farita, ni kreas en la dosierujo /etc/fail2ban/filters.d/ la jenaj dosieroj:

# /etc/fail2ban/filter.d/nginx-auth.conf # Auth filter # Blokas IPojn, kiuj malsukcesas aŭtentikigi per baza aŭtentikigo # [Difino] failregex = neniu uzanto / pasvorto estis provizita por baza aŭtentikigo. * kliento: uzanto. * ne troviĝis en. * kliento: uzanto. * pasvorto ne kongruas. * kliento: ignoreregex =
# /etc/fail2ban/filter.d/nginx-login.conf # Ensaluta filtrilo # Blokas IP-ojn, kiuj malsukcesas aŭtentikigi per la ensaluta paĝo de retejo. ] failregex = ^ -. * POST / sessions HTTP / 200 \ .. "1 ignoreregex =
# /etc/fail2ban/filter.d/nginx-noscript.conf # Noskripta filtrilo # Bloki IP-ojn provante plenumi skriptojn kiel .php, .pl, .exe kaj aliaj amuzaj skriptoj. # Matĉoj ekz. # 192.168.1.1 - - "GET /something.php # [Difino] failregex = ^ -. * GET. * (\. Php | \ .asp | \ .exe | \ .pl | \ .cgi | \ scgi) ignoreregex =
# /etc/fail2ban/filter.d/proxy.conf # prokura filtrilo # Bloki IP-ojn provante uzi servilon kiel prokurilo. # Matĉoj ekz. # 192.168.1.1 - - "GET http://www.something.com/ # [Difino] failregex = ^ -. * GET http. * Ignoreregex =
# /etc/fail2ban/filter.d/firewall.conf # Firewall filter # [Difino] failregex = ^. * IN_ (NEVALIDA | PORTSCAN | UDP | TCP |). * SRC = . * $ ignoreregex =

Fine ni komencas la servon kaj ŝarĝas la agordon:

fail2ban-service -b fail2ban-kliento reŝargas

Konfirmo

Kiel lasta paŝo, ni povas vidi la diskojn per vosto -f o multvosto –sekvu ĉion. Fakte, ĉi tiu lasta aplikaĵo ofertas la avantaĝon permesi vidi plurajn dosierojn samtempe kaj provizi bazan sintaksan reliefigon.

Se retpoŝta konto ne estas agordita en la VPS, estas konsilinde malŝalti avertan mesaĝon, kiu aperas kiam vi komencas multitolan, por kiu ni plenumos la jenan komandon:

echo "check_mail: 0"> ~ / .multitailrc

Fakte ni povus krei kaŝnomon (4) por rapide vidi la protokolojn per mallonga komando, ekzemple "flog":

kaŝnomo flog = 'multitail --follow-all /var/log/firewall.log /var/log/fail2ban.log'

1) Ĉi tiuj estas fikciaj valoroj.
2) Ebligi aliajn servojn estas facila post kiam vi komprenas kiel ĝi funkcias.
3) Por pli da detaloj, ekzekutu man sudoers.
4) Laŭvole povus esti aldonita al dosiero ~ / .bash_aliases


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

6 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   MSX diris

    Estas iuj interesaj aferoj, +1

  2.   yukiteru diris

    @Hugo ĉi tiun linion en la agordo:

    ssl_protokoloj SSLv3 TLSv1;

    Mi forigus la SSLv3 de ĝi ĉar tiu protokolo ne plu estas sekura, eĉ en Debian Jessie, multaj servoj estis agorditaj por eviti uzi tiun protokolon pro tiu kialo.

    Informoj pri la temo ĉi tie:

    https://www.linode.com/docs/security/security-patches/disabling-sslv3-for-poodle
    http://disablessl3.com/

    1.    Hugo diris

      La ideo ne estis vere oferti la ĉefajn servojn per HTTPS, sed klarigi kiel uzi havenon 443 por SSH sen perdi la eblecon uzi ĝin por HTTPS se necese, sed dankon pro la averto.

      Ĉiuokaze, mi ĝisdatigis la artikolon por iom modifi la agordon de nginx kaj cetere inkluzivas iujn komentojn por iom pli klarigi aferojn kun ĉi tio pri la ĉifraj mekanismoj, kaj por ripari iujn malgrandajn erarojn.

  3.   Daniel PZ diris

    Koran dankon pro ĉi tiu bonega lernilo, nun mi praktikos ĝin! : D, Daŭrigu ĝin El Linukso, vi ĉiam surprizas min, Salutojn el Peruo.

  4.   Ñandekuera diris

    Mi tre dankas vin por dividi.

  5.   Fernando diris

    tre bona gvidilo kaj ĝi devenas de perloj nun, kiam mi komencis ĉi tiun blogon, sed des pli nun, kiam mi estas muntonta mian unuan vps kaj ankoraŭ kun multaj problemoj, sed ĉi tiu artikolo elprenis min el multaj duboj, dankon kaj salutojn