Meie VPS-i turvamise sammud

See õpetus näitab, kuidas valmistada ette ja kaitsta virtuaalset privaatserverit (VPS) Debiani GNU / Linuxiga. Enne alustamist eeldatakse teatud asju:

1. Teil on GNU / Linuxi tundmine keskmisel tasemel.
2. Isiklikuks kasutamiseks on olemas VPS, millele meil on juurdepääs SSH kaudu.
3. VPS-il on spetsiaalne väline ipv4 250.250.250.155 ja meie pakkujale kuulub plokk 250.250.0.0/16. (1)
4. Meie VPS-is on meil väljastpoolt juurdepääsemiseks lubatud ainult http-, https- ja ssh-teenused.
5. Välist DNS-i ei lubata, kuna seda tehakse tavaliselt meie pakkuja paneelil. (2)
6. See töötab superkasutajana.

paigaldamine

Esimese sammuna värskendame serverit ja installime mõned vajalikud paketid:

# aptitude update & aptitude safe-upgrade # aptitude -RvW install dropbear gesftpserver sslh iptables-persistent ulogd fail2ban nginx-light apache2-utils dnsutils telnet ghostscript poppler-utils zip unrar-free p7zip-full less multitail tee mc

konfiguratsioon

Nüüd loome töö kasutaja. Serveris juurana töötamine on ebakindel, seetõttu loome kõigepealt spetsiaalse kasutaja:

adduser operaator usermod -aG sudo operaator

Esimene käsk loob operaatori kasutaja, teine ​​lisab selle gruppi sudo, mis võimaldab käivitada rakendusi juurkasutajana.

Korrigeerige superkasutajate õigusi

Regulaarse töö osas kasutame kasutajat operaator varem loodud, peame käskude täitmise suvandeid kohandama superkasutajana, mille jaoks täidame järgmise käsu:

visado

See käsk võimaldab põhimõtteliselt faili muuta / etc / sudoers; milles peaksime sisaldama neid ridu:

Vaikimisi env_reset, ajatempel_timeout = 0% sudo KÕIK = (KÕIK: KÕIK) KÕIK

Esimesel real lisatakse valik vaikeväärtustele ajatempli_taeg mis võimaldab teil määrata parooli aegumisaeg (minutites) sudo käsu käivitamisel. Vaikimisi on 5, kuid see on mõnikord ohtlik kahel põhjusel:

1. Kui jätame oma arvuti tahtmatult enne parooli aegumist sisselogituks, võib keegi käsku täita superkasutajana ilma piiranguteta.
2. Kui teadmatuse tõttu käivitame enne parooli aegumist rakenduse või skripti, mis sisaldab pahatahtlikku koodi, võib rakendusel ilma meie selgesõnalise nõusolekuta olla juurdepääs meie süsteemile kui superkasutajale.

Nii et riskide vältimiseks oleme väärtuseks määranud nulli, see tähendab, et iga kord, kui sudo käsk täidetakse, tuleb sisestada parool. Kui negatiivseks väärtuseks määratakse -1, on parool kunagi aegunud, mis annaks vastupidise tulemuse kui me soovime.

Teises reas selgitatakse, et sudo rühm võib täita mis tahes arvuti mis tahes käske, mis on tavaline, kuigi seda saab reguleerida. (3) On neid, kes mugavuse huvides panevad rida järgmiselt, et vältida parooli sisestamist:

% sudo KÕIK = (KÕIK: KÕIK) NOPASSWD: KÕIK

Kuid nagu me varem selgitasime, on see riskantne ja seetõttu pole soovitatav.

Keela taaskäivitamine

Turvalisuse huvides keelame taaskäivitamise ka klahvikombinatsiooni abil Ctrl + Alt + Del, mille jaoks peame selle rea faili lisama / etc / inittab:

ca: 12345: ctrlaltdel: / bin / echo "Ctrl + Alt + Del on keelatud."

Asendage OpenSSH DropBeariga

Enamik VPS-i on installitud OpenSSH-iga, mis on kindlasti väga kasulik, kuid kui meil pole vaja kogu OpenSSH-i funktsionaalsust ära kasutada, on VPS-ile ka kergemaid alternatiive, näiteks tilkkaru, mis on tavapäraseks kasutamiseks tavaliselt piisav. Kuid selle rakenduse puuduseks on see, et see ei sisalda integreeritud SFTP-serverit ja seetõttu installisime paketi alguses gesftpserver.

Dropbeari konfigureerimiseks muudame faili / etc / default / dropbear nii, et see sisaldab neid kahte rida:

NO_START = 0 DROPBEAR_EXTRA_ARGS = "- w -p 127.0.0.1:22 -I 1200-m"

Esimene rida võimaldab teenust lihtsalt ja teine ​​teeb mitut asja:

1. Vältige juurjuurdepääsu.
2. See paneb teenuse kuulama kohaliku liidese 22. porti (selgitame miks hiljem).
3. Määrab ooteaja (20 minutit).

SSLH

Port 22 (SSH) on hästi teada ja on tavaliselt üks esimesi, mida häkkerid üritavad rikkuda, seega kasutame selle asemel porti 443 (SSL). Juhtub, et seda porti kasutatakse turvaliseks sirvimiseks HTTPS-i kaudu.

Selleks kasutame paketti sslh, mis pole midagi muud kui multiplekser, mis analüüsib porti 443 saabuvaid pakette ja suunab need sisemiselt ühte või teise teenusesse sõltuvalt sellest, kas liikluse tüüp on SSH või SSL.

SSLH ei saa kuulata liidesel, kus mõni teine ​​teenus juba kuulab, mistõttu panime Dropbear'i varem kohalikul liidesel kuulama.

Nüüd peame näitama sslh-le liidese ja pordi, mille kaudu ta peaks kuulama, ja kuhu suunata paketid sõltuvalt teenuse tüübist ja selleks muudame konfiguratsioonifaili / etc / default / sslh:

DAEMON = / usr / sbin / sslh DAEMON_OPTS = "- kasutaja sslh --kuulake 250.250.250.155:443 --ssh 127.0.0.1:22 --ssl 127.0.0.1:443 --pidfile / var / run / sslh / sslh. pid "RUN = jah

Lõpuks taaskäivitame teenused:

teenuse ssh stop && service dropbear start && service sslh taaskäivitamine

Pärast eelmist käsku meie turvaline seanss tõenäoliselt katkeb, sel juhul piisab uuesti sisselogimisest, kuid seekord koos töökasutajaga ja pordi 443 kasutamisega. Kui seanss ei katkesta, on soovitatav see sulgeda ja alustage uuesti. vastavate väärtustega.

Kui kõik töötab õigesti, saame jätkata tööd juurana ja soovi korral desinstallige OpenSSH:

sudo su - aptitude -r puhastamine openssh-server

Tulemüür

Järgmine asi, mida teeme, on logid tulemüürist eraldada eraldi faili /var/log/firewall.log edasise analüüsi hõlbustamiseks, mistõttu installisime ulogdi paketi käivitamisel. Selleks redigeerime faili /etc/logd.conf vastava jaotise kohandamiseks:

[LOGEMU] file = "/ var / log / firewall.log" sync = 1

Järgmisena muudame rekordi pööramise faili / etc / logrotate / ulogd igapäevase rotatsiooni (kuupäevaga) hoidmiseks ja tihendatud salvrite kataloogi salvestamiseks / var / log / ulog /:

/var/log/ulog/*.log /var/log/firewall.log {daily dateext missingok compress delay delaycompress jagatud käsikirjad loovad 640 root adm postrotate /etc/init.d/ulogd reload mv /var/log/firewall.log-* .gz / var / log / ulog / endcript}

Seejärel loome võrgufiltri reeglid, käivitades järgmised:

IPT = $ (mis iptables) IPEXT = 250.250.250.155 IPEXTBLK = 250.250.0.0 / 16 IPBCAST = 255.255.255.255 $ IPT -F $ IPT -X $ IPT -Z $ IPT -A SISEND -i lo -j ACCEPT $ IPT - P INPUT DROP $ IPT -P EDASI DROP $ IPT -P VÄLJUND VASTUVÕT $ IPT -A INPUT -m olek --state INVALID -j ULOG --ulog-prefix IN_INVALID $ IPT -A INPUT -p igmp -j ULOG --ulog -prefix IN_IGMP $ IPT -A INPUT -m pkttype --pkt-tüüpi saade -j ULOG --ulog-prefiks IN_BCAST $ IPT -A INPUT -m pkttype --pkt-tüüpi multicast -j ULOG --ulog-prefix IN_MCAST $ IPT -A EDASI -j ULOG -uloog-eesliide EDASI $ IPT -N ICMP_IN $ IPT -A SISEND!  -i lo -p icmp -j ICMP_IN $ IPT -A ICMP_IN -p icmp -f -j ULOG -ulog-eesliide IN_ICMP_FRAGMENTED $ IPT -A ICMP_IN -p icmp -m icmp -m pikkus!  --pikkus 28: 1322 -j ULOG - eellugu-eesliide IN_ICMP_INVALIDSIZE $ IPT -A ICMP_IN -p icmp -m icmp -m hashlimit --hashlimit-üle 4 / sek --hashlimit-mode srcip --hashlimit-srcmask 24 - -hashlimit-nimi icmpflood -j ULOG --ulog-eesliide IN_ICMP_FLOOD $ IPT -A ICMP_IN -p icmp -m icmp -m hashlimit --hashlimit-kuni 64kb / min --hashlimit-mode srcip --hashlimit-srcmask 24 - hashlimit -name icmpattack -j ULOG --ulog-eesliide IN_ICMP_FLOOD $ IPT -A ICMP_IN -p icmp -m icmp -m u32!  --u32 "0x4 & 0x3fff = 0x0" -j ULOG --ulog-eesliide IN_ICMP_ATTACK $ IPT -A ICMP_IN -p icmp -m icmp!  --icmp-tüüpi echo-request -m olek --state NEW -j ULOG --ulog-prefiks IN_ICMP_INVALID $ IPT -A ICMP_IN -p icmp -m icmp --icmp-tüüpi echo-request -j ULOG --ulog- eesliide IN_ICMP $ IPT -A ICMP_IN -p icmp -m icmp --icmp-tüüpi kaja-päringu -m limiit --piirang 1 / sek --piiripurske 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp --icmp-tüüpi kaja-vastus -m limiit --piirang 2 / sek --piirang-purske 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp --icmp-tüüpi sihtkoht-kättesaamatu -m piir - piir 2 / sec --limit-burst 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp --icmp-tüüpi aeg-ületatud -m limiit - limit 2 / sec --limit-burst 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp --icmp-tüüpi parameeter-probleem -m limiit --piirang 2 / sek --piirang-purske 4 -j AKTSEPT $ IPT -A ICMP_IN -j RETURN $ IPT -N UDP_IN $ IPT -A SISEND!  -i lo -p udp -j UDP_IN $ IPT -A UDP_IN!  -Ii lo!  -p udp -f -j ULOG --ulog-eesliide IN_UDP_FRAGMENTED $ IPT -A UDP_IN -p udp -m udp --port 53 -m pikkus!  --pikkus 28: 576 -j ULOG --ulogi eesliide IN_UDP_DNS_INVALIDSIZE $ IPT -A UDP_IN -p udp -m udp --port 53 -m -riik - osariik UUS -j ULOG --ulogi-eesliide IN_UDP_DNSREQUEST $ IPT - A UDP_IN -p udp -m udp --port 53 -m -state --state UUS -j REJECT --reject-with icmp-port-kättesaamatu $ IPT -A UDP_IN -p udp -m udp!  --port 53!  -s $ IPEXTBLK!  -d $ IPBCAST -m olek - riik UUS -j ULOG --ulog-eesliide IN_UDP $ IPT -A UDP_IN -p udp -m udp -m olek - osariik ESTABLISHED, SEOTUD -j AKTSEPT $ IPT -A UDP_IN -j TAGASI $ IPT -N TCP_IN $ IPT -A SISEND!  -i lo -p tcp -j TCP_IN $ IPT -A TCP_IN!  -Ii lo!  -p tcp -f -j ULOG --ulog-eesliide IN_TCP_FRAGMENTED $ IPT -A TCP_IN -p tcp -m tcp --sport 53 -m olek - osariik on loodud, SEOTUD -m pikkus!  --pikkus 513: 1500 -j ULOG - eellugu-eesliide IN_TCP_DNS_INVALIDSIZE $ IPT -A TCP_IN -p tcp -m tcp --port 53 -m riik - osariik UUS -j ULOG --ulogi-eesliide IN_TCP_DNS $ IPT -A TCP_IN -p tcp -m tcp --port 53 -m olek - osariik UUS -j REJECT --reject-with icmp-port-kättesaamatu $ IPT -A TCP_IN -p tcp -m tcp -m multiport!  --dports 80,443 -m olek --state NEW -j ULOG --ulog-prefix IN_TCP $ IPT -A TCP_IN -p tcp -m tcp -m multiport --dports 80,443 -m state --state NEW -m hashlimit - hashlimit-upto 4 / sec --hashlimit-burst 16 --hashlimit-mode srcip --hashlimit-name navreq -j ACCEPT $ IPT -A TCP_IN -p tcp -m tcp -m multiport --dports 80,443 -m state - osariik ESTABLISED -m connlimit!  --connlimit-above 16 -j VÕTTA $ IPT -A TCP_IN -p tcp -m tcp -m multiport! 

Eelmise konfiguratsiooni korral peaks meie VPS olema mõistlikult turvatud, kuid soovi korral saame selle veel veidi kinnitada, mille jaoks saame kasutada mõnda täpsemat reeglit.

Kõik VPS-id ei võimalda netifiltri jaoks täiendavate moodulite installimist, kuid väga kasulik on see PSD, mis võimaldab teil vältida sadamakontrolli. Kahjuks pole see moodul vaikimisi integreeritud netfilterisse, seega on vaja installida teatud paketid ja seejärel moodul üles ehitada:

aptitude -RvW installi iptables-dev xtables-addons-source moodul-assistent moodul-assistent --verbose - tekstirežiim automaatselt installi xtables-addons-source

Kui ülaltoodu on tehtud, saame lisada sellise reegli:

iptables -A INPUT -m psd --psd-kaalulävi 15 --psd-delay-künnis 2000 --psd-lo-port-kaal 3 --psd-hi-ports-kaal 1 -j ULOG --ulog- eesliide IN_PORTSCAN

Eelmine reegel tähendab põhimõtteliselt seda, et loome loenduri, mis suureneb 3 võrra iga kord, kui üritatakse pääseda porti alla 1024, ja 1 võrra iga kord, kui proovitakse pääseda porti, mis on kõrgem kui 1023, ja kui see loendur jõuab 15 vähem kui 20 sekundi jooksul registreerib pakendid ulog kui katse portscan. Paketid võiks ikkagi korraga ära visata, kuid sel juhul kavatseme neid kasutada fail2ban, mille konfigureerime hiljem.

Kui reeglid on loodud, peame nende püsimiseks muutma teatud ettevaatusabinõusid, vastasel juhul kaotame need serveri taaskäivitamisel. Selle saavutamiseks on mitu võimalust; Selles õpetuses kasutame alguses installitud paketti iptables-persistent, mis reegleid salvestab /etc/iptables/rules.v4 y /etc/iptables/rules.v6 ipv6 jaoks.

iptables-save> /etc/iptables/rules.v4

Tegelikult, kuigi ipv6 kasutamine Kuubas pole veel laialt levinud, võiksime siiski luua mõned põhireeglid:

IPT = $ (millised ip6tabelid) $ IPT -P SISEND DROP $ IPT -P EDASI LÕPP $ IPT -P VÄLJUND VASTUVÕT $ IPT -A SISEND -i lo -j VÕTTA $ IPT -A SISEND! -i lo -m olek - riik LOETUD, SEOTUD -j ACCEPT on IPT seadistamata

Neid reegleid saab muuta ka püsivaks:

ip6tables-save> /etc/iptables/rules.v6

Suurema turvalisuse huvides puhastame tulemüüri registri ja taaskäivitame teenused:

echo -n> /var/log/firewall.log teenus logrotate taaskäivitusteenus ulogdi taaskäivitusteenus iptables-persistent restart

nginx

Kasutame Nginxit veebiserverina, sest VPS-idel on tavaliselt vähem serverimahtu kui päris serveril, seega on üldiselt mugav omada midagi Apache'st kergemat.

Enne Nginxi konfigureerimist loome HTTPS-i kasutamiseks kasutamiseks sertifikaadi (parooli pole):

cd / etc / nginx openssl genrsa -des3 -out cert.key 4096 cp -v cert.key cert.key.original openssl req -new -key cert.key -out cert.csr openssl rsa -in cert.key.original - välja cert.key avab sl x509 -req -päevad 365 -in cert.csr -signkey cert.key -out cert.crt

Kui see on tehtud, loome kasutajale "elusuario" paroolifaili:

htpasswd -c .htpasswd kasutaja

Järgmisena muudame faili / etc / nginx / sites-available / default saidi vaike-eelistuste määramiseks. See võib välja näha järgmine:

server {serveri_nimi localhost; register index.html index.htm default.html default.htm; juur / var / www; asukoht / {# määrake kinnitamise järjekord ja leht laadimiseks, kui URI-d ei leia try_files $ uri $ uri / /index.html; }} server {kuula 127.0.0.1:443; serveri_nimi kohalik host; register index.html index.htm default.html default.htm; juur / var / www; ssl sisse; ssl_certificate cert.crt; ssl_certificate_key cert.key; ssl_session_timeout 5m; # Luba HTTPS ainult TLS-i kaudu (turvalisem kui SSL) ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # eelistada ülitugevaid [HIGH] šifreid, # teisaldada keskmise tugevusega [MEDIUM] šifre loendi lõppu, # keelata madala tugevusega [LOW] šifrid (40 ja 56 bitti) # keelata šifrid eksportalgoritmidega [ EXP] # keelake tühjad šifrid [eNULL], ilma autentimiseta [aNULL], SSL (versioonid 2 ja 3) ja DSS (lubage võtmeid kuni 1024 bitti) ssl_ciphers HIGH: + MEDIUM :! LOW :! EXP:! ANULL :! eNULL :! SSLv3 :! SSLv2 :! DSS; # Eelistage serveri krüptimismeetodeid (vaikimisi kasutatakse kliente) ssl_prefer_server_ciphers sees; asukoht / {# luba autentimine auth_basic "Logi sisse"; auth_basic_user_file /etc/nginx/.htpasswd; # määrake kinnitamise järjekord ja lehe kood laadimiseks, kui URI try_files $ uri $ uri / = 404 ei leitud; # lubage indeksi loomine autentitud kasutajatele autoindex sisse; autoindex_exact_size off; autoindex_localtime sisse; }}

Kontrollime, kas konfiguratsioon on õige:

nginx-t

Lõpuks taaskäivitame teenuse:

teenindus nginx taaskäivitada

Fail2Ban

Enne Fail2Bani konfigureerimise alustamist peatame suurema turvalisuse tagamiseks teenuse ja puhastame registri:

fail2ban-klient stop echo -n> /var/log/fail2ban.log

Järgmisena loome konfiguratsioonifaili /etc/fail2ban/jail.local järgmise kohandatud sisuga:

# Kohandatud konfiguratsioonifail /etc/fail2ban/jail.local # [DEFAULT] findtime = 43200; 12 tundi bantime = 86400; 1 päev maxretry = 3; keeld jõustub pärast 4. katset [ssh] lubatud = vale [nginx-auth] lubatud = tõene filter = nginx-auth toiming = iptables-multiport [nimi = NoAuthFailures, port = "http, https"] logitee = / var / log / nginx * / * tõrge * .log [nginx-badbots] lubatud = true filter = apache-badbots action = iptables-multiport [nimi = BadBots, port = "http, https"] logitee = / var / log / nginx * /*access*.log bantime = 604800; 1 nädala maxretry = 0 [nginx-login] lubatud = true filter = nginx-login toiming = iptables-multiport [nimi = NoLoginFailures, port = "http, https"] logirada = / var / log / nginx * / * juurdepääs *. palgiaeg = 1800; 30 minutit [nginx-noscript] lubatud = true action = iptables-multiport [nimi = NoScript, port = "http, https"] filter = nginx-noscript logirada = /var/log/nginx*/*access*.log maxretry = 0 [nginx-proxy] lubatud = true action = iptables-multiport [nimi = NoProxy, port = "http, https"] filter = nginx-proxy logitee = /var/log/nginx*/*access*.log bantime = 604800 ; 1 nädala maxretry = 0 [tulemüür] lubatud = true action = iptables-multiport [nimi = tulemüür] filter = tulemüüri logirada = /var/log/firewall.log maxretry = 0

Kui see on tehtud, loome kataloogi /etc/fail2ban/filters.d/ järgmised failid:

# /etc/fail2ban/filter.d/nginx-auth.conf # Auth filter # Blokeerib IP-d, mille autentimine ebaõnnestub põhituvastuse abil # [Definitsioon] failregex = Põhitõendamiseks ei antud kasutajat / parooli. * klient: kasutajat. * ei leitud. * klient: kasutaja. * parooli mittevastavus. * klient: ignoreregex =

# /etc/fail2ban/filter.d/nginx-login.conf # Sisselogimisfilter # Blokeerib IP-d, mille autentimine ebaõnnestub veebirakenduse sisselogimislehe abil # HTTP 200 + POST / seansside juurdepääsulogi => nurjus sisselogimine # [Definitsioon ] failregex = ^ -. * POST / seansid HTTP / 1 \ .. "200 ignoreregex =

# /etc/fail2ban/filter.d/nginx-noscript.conf # Noscript filter # Blokeerige IP-d, mis üritavad käivitada skripte nagu .php, .pl, .exe ja muud naljakad skriptid. # Vasted nt # 192.168.1.1 - - "GET /something.php # [Definitsioon] failregex = ^ -. * GET. * (\. Php | \ .asp | \ .exe | \ .pl | \ .cgi | \ scgi) ignoreregex =

# /etc/fail2ban/filter.d/proxy.conf # Puhverserveri filter # Blokeeri IP-d, kes üritavad serverit puhverserverina kasutada. # Vasted nt # 192.168.1.1 - - "GET http://www.something.com/ # [Definition] failregex = ^ -. * GET http. * Ignoreregex =

# /etc/fail2ban/filter.d/firewall.conf # Tulemüüri filter # [Definitsioon] failregex = ^. * IN_ (KEHTETUD | PORTCAN | UDP | TCP |). * SRC = . * $ ignoreregex =

Lõpuks käivitame teenuse ja laadime konfiguratsiooni:

fail2ban-service -b fail2ban-kliendi uuesti laadimine

Kontrollimine

Viimase sammuna saame kirjeid vaadata rakendusega saba -f o multitail - järgige kõiki. Tegelikult pakub viimane rakendus seda eelist, et see võimaldab teil korraga vaadata mitut faili ja pakub süntaksi esiletõstmist.

Kui VPS-is pole e-posti kontot konfigureeritud, on soovitatav keelata hoiatusteade, mis kuvatakse multisaili käivitamisel ja mille puhul täidame järgmise käsu:

echo "check_mail: 0"> ~ / .multitailrc

Tegelikult võiksime logide kiireks vaatamiseks luua pseudonüümi (4) lühikese käsuga, näiteks "flog":

alias flog = 'multitail --follow-all /var/log/firewall.log /var/log/fail2ban.log'

1) Need on fiktiivsed väärtused.
2) Muude teenuste lubamine on lihtne, kui saate aru, kuidas see toimib.
3) Lisateabe saamiseks käivitage man sudoers.
4) Valikuliselt saab lisada faili ~ / .bash_aliases