Protektu vian hejman servilon kontraŭ eksteraj atakoj.

Hodiaŭ mi donos al vi iujn konsilojn pri kiel havi pli sekuran hejman servilon (aŭ iomete pli grandan). Sed antaŭ ol ili disŝiros min vivan.

NENIO ESTAS TUTE SEKURA

Kun ĉi tiu bone difinita rezervo, mi daŭrigas.

Mi iros laŭ partoj kaj mi ne klarigos ĉiun procezon tre atente. Mi nur mencios ĝin kaj klarigos unu aŭ alian aferon, por ke ili povu iri al Google kun pli klara ideo pri tio, kion ili serĉas.

Antaŭ kaj dum instalado

  • Estas tre rekomendinde, ke la servilo estu instalita kiel eble plej "minimuma". Tiel ni malebligas funkcii servojn, kiujn ni eĉ ne scias, ĉu estas aŭ por kio ili utilas. Ĉi tio certigas, ke ĉiuj aranĝoj funkcias memstare.
  • Oni rekomendas, ke la servilo ne estu uzata kiel ĉiutaga laborejo. (Kun kiu vi legas ĉi tiun afiŝon. Ekzemple)
  • Mi esperas, ke la servilo ne havas grafikan medion

Dispartigado.

  • Oni rekomendas, ke la dosierujoj uzataj de la uzanto kiel "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /" estu atribuitaj al malsama subdisko ol la sistemo.
  • Kritikaj dosierujoj kiel "/ var / log" (Kie ĉiuj sistemaj protokoloj estas konservitaj) estas metitaj sur malsaman subdiskon.
  • Nun, depende de la speco de servilo, se ekzemple ĝi estas retpoŝta servilo. Dosierujo "/var/mail kaj / aŭ /var/spool/mail»Devus esti aparta subdisko.

Pasvorto.

Al neniu estas sekreto, ke la pasvorto de la sistemuzantoj kaj / aŭ aliaj specoj de servoj, kiuj uzas ilin, devas esti sekura.

La rekomendoj estas:

  • Tio ne enhavas: Via nomo, Nomo de via dorlotbesto, Nomo de parencoj, Specialaj datoj, Lokoj, ktp. Konklude. La pasvorto devas havi nenion rilatan al vi, aŭ ion ajn ĉirkaŭantan vin aŭ vian ĉiutagan vivon, nek devas havi ion rilatan al la konto mem.  Ekzemplo: twitter # 123.
  • La pasvorto devas ankaŭ plenumi parametrojn kiel: Kombini majusklojn, minusklojn, nombrojn kaj specialajn signojn.  Ekzemplo: DiAFsd · $ 354 ″

Post instalado de la sistemo

  • Ĝi estas io persona. Sed mi ŝatas forigi la ROOT-uzanton kaj atribui ĉiujn privilegiojn al alia uzanto, do mi evitas atakojn kontraŭ tiu uzanto. Estante tre ofta.
La dosiero / etc / sudoers devas esti redaktita. Tie ni aldonas la uzanton, ke ni volas esti RADIKO kaj tiam ni forigas nian malnovan Superuzanton (RADIKO)
  • Estas tre praktike aboni al dissendolisto, kie ili anoncas sekurecajn erarojn de la uzata distribuo. Aldone al blogoj, bugzilla aŭ aliaj kazoj, kiuj povas averti vin pri eblaj Cimoj.
  • Kiel ĉiam, konstanta ĝisdatigo de la sistemo kaj ĝiaj komponentoj rekomendas.
  • Iuj homoj rekomendas ankaŭ sekurigi Grub aŭ LILO kaj nian BIOS per pasvorto.
  • Estas iloj kiel "ĉago", kiuj permesas al uzantoj devigi ŝanĝi sian pasvorton ĉiufoje, krom la minimuma tempo, kiun ili devas atendi por fari tion kaj aliajn eblojn.

Estas multaj manieroj sekurigi nian komputilon. Ĉio supre estis antaŭ ol instali servon. Kaj nur menciu kelkajn aferojn.

Estas sufiĉe ampleksaj manlibroj legindaj. lerni pri ĉi tiu grandega maro de ebloj .. Kun la paso de la tempo vi lernas unu aŭ alian aferon. Kaj vi rimarkos, ke ĝi ĉiam mankas .. Ĉiam ...

Nun ni certigu iom pli SERVOJ. Mia unua rekomendo estas ĉiam: «NE FORLASI LA PRIELARON KONFIGUROJN». Ĉiam iru al la serva agorda dosiero, legu iom pri tio, kion faras ĉiu parametro kaj ne lasu ĝin kiel ĝi estas instalita. Ĝi ĉiam alportas problemojn kun ĝi.

Tamen:

SSH (/ etc / ssh / sshd_config)

En SSH ni povas fari multajn aferojn, tiel ke ĝi ne estas tiel facile malobservi.

Ekzemple:

-Ne permesi la root-ensaluton (se vi ne ŝanĝis ĝin):

"PermitRootLogin no"

-Ne lasu pasvortojn malplenaj.

"PermitEmptyPasswords no"

-Ŝanĝi la havenon, kie ĝi aŭskultas.

"Port 666oListenAddress 192.168.0.1:666"

-Aŭtorizi nur iujn uzantojn.

"AllowUsers alex ref me@somewhere"   La me @ ie devas devigi tiun uzanton ĉiam konekti de la sama IP.

-Aŭtorizi specifajn grupojn.

"AllowGroups wheel admin"

Konsiletoj.

  • Ĝi estas sufiĉe sekura kaj ankaŭ preskaŭ deviga kaĝi uzantojn de ssh per chroot.
  • Vi ankaŭ povas malŝalti dosiertransigon.
  • Limigu la nombron de malsukcesaj ensalutaj provoj.

Preskaŭ esencaj iloj.

Fail2ban: Ĉi tiu ilo, kiu estas en repos, permesas limigi la nombron de aliroj al multaj specoj de servoj "ftp, ssh, apache ... ktp", malpermesante la IPojn, kiuj superas la limon de provoj.

Hardiloj: Ili estas iloj, kiuj permesas al ni "malmoligi" aŭ pli ĝuste armi nian instaladon per Fajromuroj kaj / aŭ aliaj kazoj. Inter ili "Harden kaj Bastille Linukso«

Entrudiĝemaj detektiloj: Estas multaj NIDS, HIDS kaj aliaj iloj, kiuj permesas al ni malhelpi kaj protekti nin kontraŭ atakoj, per ŝtipoj kaj atentigoj. Inter multaj aliaj iloj. Ekzistas "OSSEC«

Konklude. Ĉi tio ne estis sekureca manlibro, sed ili estis serio de elementoj konsiderindaj por havi sufiĉe sekuran servilon.

Kiel persona konsilo. Legu multe pri kiel vidi kaj analizi LOGS, kaj ni fariĝu iuj Iptables-nerdoj. Krome, ju pli da Programoj estas instalitaj en la servilo, des pli vundebla ĝi fariĝas, ekzemple CMS devas esti bone administrata, ĝisdatigante ĝin kaj bone rigardante kiajn aldonaĵojn ni aldonas.

Poste mi volas sendi afiŝon pri kiel certigi ion specifan. Tie se mi povas doni pli da detaloj kaj fari la praktikon.


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

8 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   Elynx diris

    Konservita en ŝatataj!

    Dankon!

  2.   Ivan Barra diris

    Bonegaj KONSILOJ, nu, pasintjare, mi instalis en "Grava NACIA AERLINIO" plurajn sekurecajn kaj kontrolajn sistemojn kaj mi surprizis ekscii, ke malgraŭ la kelkdek milionoj da dolaroj en ekipaĵo (SUN Solaris, Red Hat, VM WARE, Vindozo Servilo, Oracle DB, ktp), NADA-sekureco.

    Mi uzis Nagios, Nagvis, Centreon PNP4Nagios, Nessus kaj OSSEC, la radika pasvorto estis publika scio, nu, en jaro ĉio purigita, kio indis enspezi multan monon, sed ankaŭ multan sperton en ĉi tiu tipo de afero. Neniam doloras konsideri ĉion, kion vi ĵus klarigis.

    Salutojn.

  3.   Blaire pascal diris

    Bela. Rekta al miaj plej ŝatataj.

  4.   guzman6001 diris

    Bonega artikolo ... <3

  5.   Johano Ignaco diris

    Che, la venontan fojon vi povas plu klarigi kiel uzi ostojn aŭ aliajn ilojn! Tre Bona la afiŝo! Pli, bonvolu!

    1.    Ivan Barra diris

      En februaro, por miaj ferioj, mi volas kunlabori kun poŝto kaj kontroliloj de Nagios.

      Salutojn.

  6.   Koratsuki diris

    Bona artikolo, mi planis nur ripari mian komputilon por verki unu pli ampleksan tilinon, sed vi antaŭis min xD. Bona kontribuo!

  7.   Arturo Molina diris

    Mi ankaŭ ŝatus vidi afiŝon dediĉitan al entrudaj detektiloj. Tiel mi aldonas ĝin al plej ŝatataj.