Koraci za osiguranje našeg VPS-a

Ovaj vodič pokazuje kako pripremiti i osigurati virtualni privatni poslužitelj (VPS) s Debian GNU / Linuxom. Prije nego što započnemo, pretpostavljaju se određene stvari:

1. Imate srednju razinu poznavanja GNU / Linuxa.
2. Postoji VPS za osobnu upotrebu kojem imamo pristup putem SSH-a.
3. VPS ima namjenski vanjski ipv4 250.250.250.155, a naš je dobavljač vlasnik bloka 250.250.0.0/16. (1)
4. U našem VPS-u imat ćemo omogućene samo http, https i ssh usluge za pristup izvana.
5. Vanjski DNS neće biti omogućen jer se to obično radi na ploči našeg davatelja usluga. (2)
6. Radit će kao superkorisnik.

Instalacija

Kao prvi korak, ažurirajmo poslužitelj i instalirajmo neke pakete koji će nam trebati:

# aptitude update & aptitude safe-upgrade # aptitude -RvW install dropbear gesftpserver sslh iptables-persistent ulogd fail2ban nginx-light apache2-utils dnsutils telnet ghostscript poppler-utils zip unzip unrar-free p7zip-full multitail tee mc

konfiguracija

Sada ćemo stvoriti korisničkog korisnika. Rad kao root na poslužitelju nije siguran, pa ćemo prvo stvoriti posebnog korisnika:

adduser operator usermod -aG sudo operator

Prva naredba stvara korisnika operatora, druga ga dodaje u grupu sudo, koji će omogućiti pokretanje aplikacija kao root.

Prilagodite dozvole za super korisnike

Kako bismo redovito radili, koristit ćemo korisnika operater prethodno stvorene, trebamo prilagoditi mogućnosti izvršavanja naredbe kao superkorisnika, za što izvršavamo sljedeću naredbu:

visado

Ova naredba u osnovi omogućuje izmjenu datoteke / etc / sudoers; u kojem bismo trebali sadržavati ove retke:

Zadane vrijednosti env_reset, timestamp_timeout = 0% sudo ALL = (ALL: ALL) ALL

U prvom retku opcija se dodaje zadanim vrijednostima timestamp_timeout koji vam omogućuje postavljanje vremena isteka (u minutama) lozinke prilikom izvršavanja sudo naredbe. Zadana vrijednost je 5, ali to ponekad nije sigurno iz dva razloga:

1. Ako nehotice ostavimo računalo prijavljenim prije isteka lozinke, netko bi mogao izvršiti naredbu kao superkorisnik bez ikakvih ograničenja.
2. Ako zbog neznanja pokrenemo aplikaciju ili skriptu koja sadrži zlonamjerni kod prije isteka lozinke, aplikacija bi mogla imati pristup našem sustavu kao superkorisnik, bez našeg izričitog pristanka.

Da bismo izbjegli rizike, vrijednost smo postavili na nulu, odnosno svaki put kada se izvrši sudo naredba mora se unijeti lozinka. Ako je negativna vrijednost postavljena na -1, učinak je da lozinka nikad ne ističe, što bi rezultiralo suprotnim rezultatom od onoga što želimo.

U drugom se retku pojašnjava da sudo grupa može izvršiti bilo koju naredbu na bilo kojem računalu, što je uobičajeno, iako se može prilagoditi. (3) Postoje oni koji zbog praktičnosti stavljaju sljedeći redak kako ne bi morali upisivati ​​lozinku:

% sudo SVE = (SVE: SVE) NOPASSWD: SVE

Međutim, kao što smo ranije objasnili, ovo je rizično i stoga se ne preporučuje.

Onemogući ponovno pokretanje

Iz sigurnosnih razloga onemogućit ćemo i ponovno pokretanje pomoću kombinacije tipki Ctrl + Alt + Del, za koji moramo dodati ovaj redak u datoteci / etc / inittab:

ca: 12345: ctrlaltdel: / bin / echo "Ctrl + Alt + Del je onemogućen."

Zamijenite OpenSSH s DropBear

Većina VPS-a dolazi s instaliranim OpenSSH-om, što je zasigurno vrlo korisno, ali ako ne trebamo iskoristiti sve funkcionalnosti OpenSSH-a, za VPS postoje lakše opcije, kao dropbear, što je obično dovoljno za redovitu upotrebu. Međutim, nedostatak ove aplikacije je što se ne isporučuje s integriranim SFTP poslužiteljem i zato smo paket instalirali na početku gesftpserver.

Da bismo konfigurirali Dropbear, izmijenit ćemo datoteku / etc / default / dropbear tako da sadrži ove dvije linije:

NO_START = 0 DROPBEAR_EXTRA_ARGS = "- w -p 127.0.0.1:22 -I 1200 -m"

Prva linija jednostavno omogućuje uslugu, a druga čini nekoliko stvari:

1. Izbjegavajte root pristup.
2. Slušanje usluge stavlja na priključak 22 lokalnog sučelja (kasnije ćemo objasniti zašto).
3. Postavlja vrijeme čekanja (20 minuta).

SSLH

Port 22 (SSH) dobro je poznat i općenito je jedan od prvih koje hakeri pokušavaju probiti, pa ćemo umjesto toga koristiti port 443 (SSL). Dogodi se da se ovaj port koristi za sigurno pregledavanje putem HTTPS-a.

Iz tog razloga koristit ćemo sslh paket, koji je ništa više od multipleksera koji analizira pakete koji stižu na priključak 443 i interno ih usmjerava na jednu ili drugu uslugu, ovisno o tome je li vrsta prometa SSH ili SSL.

SSLH ne može slušati na sučelju na kojem već sluša neka druga usluga, zbog čega smo prethodno natjerali Dropbear da sluša na lokalnom sučelju.

Sada ono što trebamo učiniti je naznačiti sslh sučelje i port preko kojeg bi trebalo slušati i gdje preusmjeriti pakete ovisno o vrsti usluge, a za to ćemo izmijeniti konfiguracijsku datoteku / etc / default / sslh:

DAEMON = / usr / sbin / sslh DAEMON_OPTS = "- korisnik sslh --slušaj 250.250.250.155:443 --ssh 127.0.0.1:22 --ssl 127.0.0.1:443 --pidfile / var / run / sslh / sslh. pid "RUN = da

Na kraju ponovno pokrećemo usluge:

usluga ssh stop && usluga dropbear start && usluga sslh ponovno pokretanje

Nakon prethodne naredbe, naša će sigurna sesija vjerojatno biti prekinuta, u tom je slučaju dovoljno ponovno se prijaviti, ali ovaj put s korisničkim korisnikom i putem porta 443. Ako sesija nije prekinuta, preporučljivo je da je zatvorite i krenite iznova s ​​odgovarajućim vrijednostima.

Ako sve funkcionira ispravno, možemo nastaviti raditi kao root i ako želimo, deinstalirajte OpenSSH:

sudo su - aptitude -r purge openssh-server

firewall

Sljedeće što ćemo učiniti je odvojiti zapisnike od vatrozida u zasebnu datoteku /var/log/firewall.log kako bismo olakšali daljnju analizu, zbog čega smo pri pokretanju instalirali paket ulogd. Zbog toga ćemo urediti datoteku /etc/logd.conf za prilagodbu odgovarajućeg odjeljka:

[LOGEMU] file = "/ var / log / firewall.log" sync = 1

Zatim ćemo izmijeniti datoteku rotacije zapisa / etc / logrotate / ulogd kako biste zadržali dnevnu rotaciju (s datumom) i spremili komprimirane salve u direktorij / var / log / ulog /:

/var/log/ulog/*.log /var/log/firewall.log {svakodnevno dateext missingok komprimirati delaycompress sharedscripts stvoriti 640 root adm postrotate /etc/init.d/ulogd reload mv /var/log/firewall.log-* .gz / var / log / ulog / endscript}

Tada ćemo stvoriti pravila netfiltera izvršavajući sljedeće:

IPT = $ (koji se mogu prilagoditi) IPEXT = 250.250.250.155 IPEXTBLK = 250.250.0.0 / 16 IPBCAST = 255.255.255.255 $ IPT -F $ IPT -X $ IPT -Z $ IPT -A INPUT -i lo -j ACCEPT $ IPT - P INPUT DROP $ IPT -P NAPRED DROP $ IPT -P OUTPUT ACCEPT $ IPT -A INPUT -m state --state INVALID -j ULOG --ulog-prefix IN_INVALID $ IPT -A INPUT -p igmp -j ULOG --ulog -prefiks IN_IGMP $ IPT -A ULAZ -m pkttype -pkt-vrsta emitiranja -j ULOG --ulog-prefiks IN_BCAST $ IPT -A INPUT -m pkttype -pkt-type multicast -j ULOG --ulog-prefiks IN_MCAST $ IPT -A NAPRIJED -j ULOG --ulog-prefiks NAPRIJED $ IPT -N ICMP_IN $ IPT -A ULAZ!  -i lo -p icmp -j ICMP_IN $ IPT -A ICMP_IN -p icmp -f -j ULOG --ulog-prefiks IN_ICMP_FRAGMENTED $ IPT -A ICMP_IN -p icmp -m icmp -m length!  --dužina 28: 1322 -j ULOG --ulog-prefiks IN_ICMP_INVALIDSIZE $ IPT -A ICMP_IN -p icmp -m icmp -m hashlimit --hashlimit-iznad 4 / sec --hashlimit-mode srcip --hashlimit-srcmask 24 - -hashlimit-name icmpflood -j ULOG --ulog-prefiks IN_ICMP_FLOOD $ IPT -A ICMP_IN -p icmp -m icmp -m hashlimit --hashlimit-upto 64kb / min --hashlimit-mode srcip --hashlimit-srcmask 24 - hashlimit -ime icmpattack -j ULOG --ulog-prefiks IN_ICMP_FLOOD $ IPT -A ICMP_IN -p icmp -m icmp -m u32!  --u32 "0x4 & 0x3fff = 0x0" -j ULOG --ulog-prefiks IN_ICMP_ATTACK $ IPT -A ICMP_IN -p icmp -m icmp!  - echo-request -m state --m state --state NOVO -j ULOG --ulog-prefiks IN_ICMP_INVALID $ IPT -A ICMP_IN -p icmp -m icmp - echo-type -mpmp type -j ULOG --ulog- prefiks IN_ICMP $ IPT -A ICMP_IN -p icmp -m icmp - type-emp-type echo-request -m limit --limit 1 / sec --limit-burst 4 -j PRIHVATI $ IPT -A ICMP_IN -p icmp -m icmp - limit echo-response -m -mpmp -limit 2 / sec --limit-burst 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp --icmp-type odredište-nedostižno -m limit - limit 2 / sec --limit-burst 4 -j PRIHVATITE $ IPT -A ICMP_IN -p icmp -m icmp - vremenski prekoračen limit -icmp-type --limit 2 / sec --limit-burst 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp - parametar -icmp-type-problem -m limit --limit 2 / sec --limit-burst 4 -j PRIHVATI $ IPT -A ICMP_IN -j RETURN $ IPT -N UDP_IN $ IPT -A ULAZ!  -i lo -p udp -j UDP_IN $ IPT -A UDP_IN!  -i gle!  -p udp -f -j ULOG --ulog-prefiks IN_UDP_FRAGMENTED $ IPT -A UDP_IN -p udp -m udp - sport 53-m length!  --length 28: 576 -j ULOG --ulog-prefiks IN_UDP_DNS_INVALIDSIZE $ IPT -A UDP_IN -p udp -m udp --dport 53 -m -state --state NOVO -j ULOG --ulog-prefiks IN_UDP_DNSREQUEST $ IPT - A UDP_IN -p udp -m udp --dport 53 -m -state --state NOVO -j ODBIJANJE --reject-with icmp-port-unreachable $ IPT -A UDP_IN -p udp -m udp!  - sport 53!  -s $ IPEXTBLK!  -d $ IPBCAST -m stanje - stanje NOVO -j ULOG --ulog-prefiks IN_UDP $ IPT -A UDP_IN -p udp -m udp -m stanje - stanje USTANOVLJENO, POVEZANO -j PRIHVATI $ IPT -A UDP_IN -j VRATITE $ IPT -N TCP_IN $ IPT -A ULAZ!  -i lo -p tcp -j TCP_IN $ IPT -A TCP_IN!  -i gle!  -p tcp -f -j ULOG --ulog-prefiks IN_TCP_FRAGMENTED $ IPT -A TCP_IN -p tcp -m tcp --sport 53 -m stanje - stanje USTANOVLJENO, POVEZANO -m duljina!  --dužina 513: 1500 -j ULOG --ulog-prefiks IN_TCP_DNS_INVALIDSIZE $ IPT -A TCP_IN -p tcp -m tcp --dport 53 -m stanje - stanje NOVO -j ULOG --ulog-prefiks IN_TCP_DNS $ IPT -A TCP_IN -p tcp -m tcp --dport 53 -m stanje - stanje NOVO -j ODBIJANJE --odbaci-sa icmp-portom-nedostupan $ IPT -A TCP_IN -p tcp -m tcp -m multiport!  --dports 80,443 -m state --state NEW -j ULOG --ulog-prefix IN_TCP $ IPT -A TCP_IN -p tcp -m tcp -m multiport --dports 80,443 -m state --state NEW -m hashlimit - hashlimit -do 4 / sec --hashlimit-burst 16 --hashlimit-mode srcip --hashlimit-name navreq -j PRIHVATI $ IPT -A TCP_IN -p tcp -m tcp -m multiport --dports 80,443 -m state - state USTANOVLJENO -m ograničiti!  --connlimit-iznad 16 -j PRIHVATITE $ IPT -A TCP_IN -p tcp -m tcp -m multiport! 

S prethodnom konfiguracijom, naš VPS trebao bi biti razumno osiguran, ali ako želimo možemo ga osigurati malo više, za što možemo koristiti neka naprednija pravila.

Ne dopuštaju svi VPS instaliranje dodatnih modula za netfilter, ali vrlo koristan je PSD, koji vam omogućuje izbjegavanje skeniranja priključaka. Nažalost, ovaj modul po defaultu nije integriran u netfilter, pa je potrebno instalirati određene pakete, a zatim izgraditi modul:

aptitude -RvW instalacija iptables-dev xtables-addons-source modul-asistent modul-asistent --verbose --text-mode auto-install xtables-addons-source

Nakon što je gore navedeno, možemo dodati ovakvo pravilo:

iptables -A INPUT -m psd --psd-prag težine 15 --psd-prag odgode 2000 --psd-lo-port-weight 3 --psd-hi-ports-weight 1 -j ULOG --ulog- prefiks IN_PORTSCAN

Prethodno pravilo u osnovi znači da ćemo stvoriti brojač koji će se povećavati za 3 svaki put kad se pokuša pristupiti luci nižoj od 1024 i za 1 svaki put kad se pokuša pristupiti luci većoj od 1023, a kada brojač dosegne 15 u razdoblju kraćem od 20 sekundi, pakete će registrirati ulog kao pokušaj lučkog skeniranja. Paketi bi se i dalje mogli odbaciti odjednom, ali u ovom slučaju namjeravamo koristiti neuspjeh2ban, koju ćemo konfigurirati kasnije.

Jednom kada se pravila stvore, moramo poduzeti određene mjere predostrožnosti da bi bile postojane, u protivnom ćemo ih izgubiti prilikom ponovnog pokretanja poslužitelja. Postoji nekoliko načina da se to postigne; U ovom uputstvu koristit ćemo iptables-persistent paket koji smo instalirali na početku, a koji pohranjuje pravila u /etc/iptables/rules.v4 y /etc/iptables/rules.v6 za ipv6.

iptables-save> /etc/iptables/rules.v4

U stvari, iako uporaba ipv6 na Kubi još nije široko rasprostranjena, mogli bismo stvoriti neka osnovna pravila:

IPT = $ (koji ip6tables) $ IPT -P INPUT DROP $ IPT -P NAPRED DROP $ IPT -P IZLAZ PRIHVATI $ IPT -A ULAZ -i lo -j PRIHVATI $ IPT -A ULAZ! -i lo -m state --state USTANOVLJENO, POVEZANO -j PRIHVATATI poništeno IPT

Ta se pravila također mogu učiniti trajnim:

ip6tables-save> /etc/iptables/rules.v6

Konačno, radi veće sigurnosti čistimo registar vatrozida i ponovno pokrećemo usluge:

echo -n> /var/log/firewall.log usluga logrotate ponovno pokretanje usluge ulogd ponovno pokretanje usluge iptables-trajno ponovno pokretanje

Nginx

Koristit ćemo Nginx kao web poslužitelj, jer VPS-ovi imaju smanjenu količinu RAM-a u usporedbi sa stvarnim poslužiteljem, pa je općenito dobra ideja imati nešto lakše od Apachea.

Prije konfiguriranja Nginxa stvorit ćemo certifikat (bez lozinke) za upotrebu putem HTTPS-a:

cd / etc / nginx openssl genrsa -des3 -out cert.key 4096 cp -v cert.key cert.key.original openssl req -new -key cert.key -out cert.csr openssl rsa -in cert.key.original - out cert.key openssl x509 -req -days 365 -in cert.csr -signkey cert.key -out cert.crt

Nakon što to učinimo, stvorit ćemo datoteku lozinke za korisnika "elusuario":

htpasswd -c .htpasswd korisnika

Dalje ćemo izmijeniti datoteku / etc / nginx / sites-available / default za postavljanje zadanih postavki web mjesta. Moglo bi izgledati ovako:

poslužitelj {ime_poslužitelja localhost; indeks index.html index.htm default.html default.htm; korijen / var / www; location / {# postavite redoslijed provjere i stranicu za učitavanje, ako URI nije pronađen try_files $ uri $ uri / /index.html; }} poslužitelj {preslušati 127.0.0.1:443; ime_poslužitelja localhost; indeks index.html index.htm default.html default.htm; korijen / var / www; ssl na; ssl_certificate cert.crt; ssl_certificate_key cert.key; ssl_session_timeout 5m; # Omogući HTTPS samo preko TLS-a (sigurnije od SSL-a) ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # dajte prednost šiframa visoke čvrstoće [HIGH], # premjestite šifre srednje snage [MEDIUM] na kraj popisa, # onemogućite šifre male čvrstoće [LOW] (40 i 56 bitova) # onemogućite šifre s algoritmima izvoza [ EXP] # onemogućiti null šifre [eNULL], bez provjere autentičnosti [aNULL], SSL (verzije 2 i 3) i DSS (dopuštaju samo ključeve do 1024 bita) ssl_ciphers HIGH: + SREDNJI :! LOW :! EXP:! ANULL :! eNULL :! SSLv3 :! SSLv2 :! DSS; # Preferirajte metode šifriranja poslužitelja (prema zadanim postavkama koriste se klijentove) ssl_prefer_server_ciphers on; location / {# enable authentication auth_basic "Login"; auth_basic_user_file /etc/nginx/.htpasswd; # postavite redoslijed provjere i učitavanje koda stranice, ako URI try_files $ uri $ uri / = 404 nije pronađen; # dopustiti stvaranje indeksa za autorizirane korisnike s autentifikacijom; autoindex_exact_size off; uključen autoindex_localtime; }}

Provjeravamo je li konfiguracija ispravna:

nginx -t

Konačno, ponovno pokrećemo uslugu:

uslugu nginx restart

Fail2Ban

Prije početka konfiguriranja Fail2Ban, radi veće sigurnosti zaustavljamo uslugu i čistimo registar:

fail2ban-client stop echo -n> /var/log/fail2ban.log

Dalje kreiramo konfiguracijsku datoteku /etc/fail2ban/jail.local sa sljedećim prilagođenim sadržajem:

# Prilagođena konfiguracijska datoteka /etc/fail2ban/jail.local # [DEFAULT] findtime = 43200; 12 sati bantime = 86400; 1 dan maxretry = 3; zabrana će stupiti na snagu nakon 4. pokušaja [ssh] enabled = false [nginx-auth] enabled = true filter = nginx-auth action = iptables-multiport [name = NoAuthFailures, port = "http, https"] logpath = / var / log / nginx * / * error * .log [nginx-badbots] enabled = true filter = apache-badbots action = iptables-multiport [name = BadBots, port = "http, https"] logpath = / var / log / nginx * /*pristup*.log bantime = 604800; 1 tjedan maxretry = 0 [nginx-login] omogućeno = true filter = nginx-login action = iptables-multiport [name = NoLoginFailures, port = "http, https"] logpath = / var / log / nginx * / * pristup *. bantime trupaca = 1800; 30 minuta [nginx-noscript] omogućeno = true action = iptables-multiport [name = NoScript, port = "http, https"] filter = nginx-noscript logpath = /var/log/nginx*/*access*.log maxretry = 0 [nginx-proxy] omogućeno = true action = iptables-multiport [name = NoProxy, port = "http, https"] filter = nginx-proxy logpath = /var/log/nginx*/*account*.log bantime = 604800 ; 1 tjedan maxretry = 0 [firewall] omogućen = true action = iptables-multiport [name = Firewall] filter = logpath firewall = /var/log/firewall.log maxretry = 0

Nakon što je to učinjeno, kreiramo u direktoriju /etc/fail2ban/filters.d/ sljedeće datoteke:

# /etc/fail2ban/filter.d/nginx-auth.conf # Autorizacijski filtar # Blokira IP-ove koji ne uspijevaju provjeriti autentičnost pomoću osnovne provjere identiteta # [Definicija] failregex = za osnovnu provjeru identiteta nije naveden korisnik / lozinka. * klijent: user. * nije pronađen u. * client: korisnik. * neusklađenost lozinke. * klijent: ignoreregex =

# /etc/fail2ban/filter.d/nginx-login.conf # Filtar za prijavu # Blokira IP adrese koje ne uspijevaju provjeriti autentičnost pomoću stranice za prijavu web aplikacije # Skeniraj zapisnik pristupa za HTTP 200 + POST / session => neuspjela prijava # [Definicija ] failregex = ^ -. * POST / sesije HTTP / 1 \ .. "200 ignoreregex =

# /etc/fail2ban/filter.d/nginx-noscript.conf # Noscript filter # Blokiraj IP-ove koji pokušavaju izvršiti skripte kao što su .php, .pl, .exe i druge smiješne skripte. # Podudara se npr. # 192.168.1.1 - - "GET /something.php # [Definicija] failregex = ^ -. * GET. * (\. Php | \ .asp | \ .exe | \ .pl | \ .cgi | \ scgi) ignoreregex =

# /etc/fail2ban/filter.d/proxy.conf # Proxy filter # Blokiraj IP-ove koji pokušavaju koristiti poslužitelj kao proxy. # Podudara se npr. # 192.168.1.1 - - "GET http://www.something.com/ # [Definicija] failregex = ^ -. * GET http. * Ignoreregex =

# /etc/fail2ban/filter.d/firewall.conf # Filter vatrozida # [Definicija] failregex = ^. * IN_ (INVALID | PORTSCAN | UDP | TCP |). * SRC = . * $ ignoreregex =

Konačno, pokrećemo uslugu i učitavamo konfiguraciju:

fail2ban-service -b fail2ban-ponovno učitavanje klijenta

Verifikacija

Kao posljednji korak, možemo pregledati zapise pomoću rep -f o multitail –slijedi-sve. Zapravo, potonja aplikacija nudi prednost u tome što omogućuje istovremeno gledanje više datoteka i pruža osnovno isticanje sintakse.

U slučaju da račun e-pošte nije konfiguriran u VPS-u, preporučljivo je onemogućiti poruku upozorenja koja se pojavljuje prilikom pokretanja multitaila, za što ćemo izvršiti sljedeću naredbu:

odjek "check_mail: 0"> ~ / .multitailrc

Zapravo bismo mogli napraviti alias (4) za brzi pregled dnevnika kratkom naredbom, na primjer, "flog":

alias flog = 'multitail --follow-all /var/log/firewall.log /var/log/fail2ban.log'

1) To su fiktivne vrijednosti.
2) Omogućavanje drugih usluga lako je kad shvatite kako to funkcionira.
3) Za više detalja pokrenite man sudoers.
4) Po želji se može dodati u datoteku ~ / .bash_aliases