Suojaa kotipalvelinta ulkoisilta hyökkäyksiltä.

@Jlcmux

5 minuuttia

Annan tänään vinkkejä turvallisemman (tai hieman isomman) kotipalvelimen käyttöön. Mutta ennen kuin he repivät minut eroon elossa.

Mikään ei ole täysin turvallista

Tämän hyvin määritellyn varoituksen kanssa jatkan.

Aion mennä osittain enkä selitä kutakin prosessia kovin huolellisesti. Mainitsen vain sen ja selventän yhtä tai toista asiaa, jotta he voivat siirtyä Googlelle selkeämmällä käsityksellä etsimästään.

Ennen asennusta ja asennuksen aikana

  • On erittäin suositeltavaa, että palvelin asennetaan mahdollisimman vähän. Tällä tavoin estämme palvelujen suorittamisen, joita emme edes tiedä, onko niitä olemassa tai mihin niitä käytetään. Tämä varmistaa, että kaikki asetukset suoritetaan itse.
  • On suositeltavaa, että palvelinta ei käytetä jokapäiväisenä työasemana. (Millä kanssa luet tätä viestiä. Esimerkiksi)
  • Toivottavasti palvelimella ei ole graafista ympäristöä

Osiointi.

  • On suositeltavaa, että käyttäjän käyttämät kansiot, kuten "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /", määritetään eri osiolle kuin järjestelmä.
  • Kriittiset kansiot, kuten "/ var / log" (johon kaikki järjestelmälokit on tallennettu), asetetaan eri osioon.
  • Nyt palvelimen tyypistä riippuen, jos se on esimerkiksi postipalvelin. Kansio "/var/mail ja / tai /var/spool/mail»Pitäisi olla erillinen osio.

Salasana.

Kenellekään ei ole salaisuus, että järjestelmän käyttäjien ja / tai muun tyyppisten palvelujen, jotka käyttävät niitä, salasanan on oltava turvallinen.

Suositukset ovat:

  • Se ei sisällä: Nimesi, lemmikkisi nimi, sukulaisten nimi, erityiset päivämäärät, paikat jne. Tiivistettynä. Salasanalla ei saa olla mitään sinuun liittyvää tai mitään, joka ympäröi sinua tai jokapäiväistä elämääsi, eikä sillä saa olla mitään liittyvää itse tiliin.  esimerkiksi: viserrys # 123.
  • Salasanan on myös oltava seuraavien parametrien mukainen: Yhdistä isot, pienet, numerot ja erikoismerkit.  esimerkiksi: DiAFsd · 354 dollaria

Järjestelmän asentamisen jälkeen

  • Se on jotain henkilökohtaista. Mutta haluan poistaa ROOT-käyttäjän ja määrittää kaikki oikeudet toiselle käyttäjälle, joten vältän hyökkäyksiä kyseistä käyttäjää vastaan. Erittäin yleinen.
/ Etc / sudoers-tiedostoa on muokattava. Siellä lisätään käyttäjä, jonka haluamme olla ROOT, ja sitten poistamme vanhan superkäyttäjän (ROOT)
  • On erittäin käytännöllistä tilata postituslista, jossa ilmoitetaan käyttämäsi jakelun tietoturvaongelmista. Blogien lisäksi bugzilla tai muut tapaukset, jotka voivat varoittaa mahdollisista virheistä.
  • Kuten aina, suositellaan järjestelmän ja sen komponenttien jatkuvaa päivittämistä.
  • Jotkut ihmiset suosittelevat myös Grubin tai LILOn ja BIOSin suojaamista salasanalla.
  • On olemassa työkaluja, kuten "chage", jonka avulla käyttäjät voidaan pakottaa vaihtamaan salasanansa joka X-kerta sen lisäksi, että heidän on odotettava vähimmäisaikaa ja muita vaihtoehtoja.

On monia tapoja suojata tietokoneemme. Kaikki edellä mainittu oli ennen palvelun asentamista. Ja mainitse vain muutama asia.

On melko kattavia käyttöoppaita, jotka kannattaa lukea. oppia tästä valtavasta mahdollisuuksien merestä .. Ajan myötä opit yhden tai toisen asian. Ja huomaat, että se puuttuu aina ... Aina ...

Varmistetaan nyt hieman enemmän PALVELUT. Ensimmäinen suositukseni on aina: "ÄLÄ poistu oletusasetuksista". Mene aina palvelun määritystiedostoon, lue vähän siitä, mitä kukin parametri tekee, äläkä jätä sitä asennettuna. Se tuo aina ongelmia.

Kuitenkin:

SSH (/ etc / ssh / sshd_config)

SSH: ssä voimme tehdä monia asioita, jotta sitä ei ole niin helppo rikkoa.

Esimerkiksi:

-Älä salli ROOT-kirjautumista (jos et ole muuttanut sitä):

"PermitRootLogin no"

-Älä anna salasanojen olla tyhjiä.

"PermitEmptyPasswords no"

-Muuta porttia, jossa se kuuntelee.

"Port 666oListenAddress 192.168.0.1:666"

-Valitse vain tietyt käyttäjät.

"AllowUsers alex ref me@somewhere"   Me @ jonnekin on pakotettava kyseinen käyttäjä muodostamaan yhteys aina samasta IP-osoitteesta.

-Valitse tietyt ryhmät.

"AllowGroups wheel admin"

Vinkkejä.

  • Se on melko turvallista ja myös melkein pakollista asettaa häkkiin ssh-käyttäjiä chrootin kautta.
  • Voit myös poistaa tiedostonsiirron käytöstä.
  • Rajoita epäonnistuneiden kirjautumisyritysten määrää.

Lähes välttämättömät työkalut.

Fail2ban: Tämän repos-työkalun avulla voimme rajoittaa monen tyyppisten palvelujen "ftp, ssh, apache ... jne." Käyttöoikeuksien määrää ja kieltää IP-osoitteet, jotka ylittävät yritysrajan.

Kovettajat: Ne ovat työkaluja, joiden avulla voimme "kovettaa" tai pikemminkin asentaa asennuksemme palomuurien ja / tai muiden instanssien kanssa. Heidän keskuudessaan "Kovettua ja Bastille Linux«

Tunkeilijailmaisimet: On monia NIDS-, HIDS- ja muita työkaluja, joiden avulla voimme estää ja suojautua hyökkäyksiltä lokien ja hälytysten avulla. Monien muiden työkalujen joukossa. Olemassa "OSSEC«

Tiivistettynä. Tämä ei ollut tietoturvakäsikirja, pikemminkin ne olivat sarja tuotteita, jotka on otettava huomioon melko turvallisen palvelimen saamiseksi.

Henkilökohtaisena neuvona. Lue paljon siitä, miten tarkastella ja analysoida LOGS-tiedostoja, ja tulemaan joitain Iptables-nörttejä. Lisäksi mitä enemmän ohjelmistoja on asennettu palvelimelle, sitä haavoittuvammiksi siitä tulee, esimerkiksi CMS: ää on hallinnoitava hyvin, päivitettävä se ja tarkasteltava hyvin, millaisia ​​lisäosia lisäämme.

Myöhemmin haluan lähettää viestin siitä, miten varmistaa jotain erityistä. Siellä jos voin antaa lisätietoja ja harjoittaa.


Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   elynx dijo
    sitten 11 vuotta

    Tallennettu suosikkeihin!

    Tervehdys!

    Vastaa Elynxille
  2.   Ivan Barra dijo
    sitten 11 vuotta

    Erinomaiset VINKKIT, viime vuonna, asensin "Tärkeään kansalliseen lentoyhtiöön" useita turvallisuus- ja valvontajärjestelmiä ja olin yllättynyt kuullessani, että huolimatta useista kymmenistä miljoonista dollareista (SUN Solaris, Red Hat, VM WARE , Windows Server, Oracle DB jne.), Turvallisuus EI MITÄÄN.

    Käytin Nagiosia, Nagvisia, Centreon PNP4Nagiosia, Nessusta ja OSSECiä, juurisalasana oli yleinen tieto, hyvin, vuodessa kaikki, mikä puhdistettiin, ansaitsi ansaita paljon rahaa, mutta myös paljon kokemusta tämän tyyppisistä asioista. Ei koskaan satuta ottaa huomioon kaikkea mitä juuri selitit.

    Tervehdys.

    Vastaa Iván Barra
  3.   Blaire pascal dijo
    sitten 11 vuotta

    Kiva. Suoraan suosikkeihini.

    Vastaa Blaire Pascalille
  4.   guzman6001 dijo
    sitten 11 vuotta

    Upea artikkeli ... <3

    Vastaa guzman6001
  5.   Juan Ignacio dijo
    sitten 11 vuotta

    Che, seuraavaksi voit jatkaa ossecin tai muiden työkalujen käyttöä! Erittäin hyvä viesti! Lisää kiitos!

    Vastaa Juan Ignacio
    1.    Ivan Barra dijo
      sitten 11 vuotta

      Helmikuussa lomalleni haluan tehdä yhteistyötä Nagiosin postin ja seurantatyökalujen kanssa.

      Tervehdys.

      Vastaa Iván Barra
  6.   koratsuki dijo
    sitten 11 vuotta

    Hyvä artikkeli, en ollut suunnitellut mitään muuta korjata tietokonettani kirjoittaakseni kattavamman tilin, mutta sinä etsit minua xD. Hyvä panos!

    Vastaa Koratsukille
  7.   Arturo Molina dijo
    sitten 11 vuotta

    Haluaisin myös nähdä tunkeutumisenilmaisimille tarkoitetun viestin. Tällä tavoin lisätään se suosikkeihin.

    Vastaus Arturo Molinalle