Zaštitite svoj kućni poslužitelj od vanjskih napada.

Danas ću vam dati nekoliko savjeta o tome kako imati sigurniji kućni poslužitelj (ili malo veći). Ali prije nego što me živog rastrgnu.

NIŠTA NIJE POTPUNO SIGURNO

S ovim dobro definiranim upozorenjem nastavljam.

Idem po dijelovima i neću svaki postupak objašnjavati vrlo pažljivo. Samo ću to spomenuti i razjasniti jedno ili drugo, kako bi mogli otići na Google s jasnijom predodžbom o onome što traže.

Prije i tijekom instalacije

• Preporučuje se da poslužitelj bude instaliran što je moguće minimalnije. Na taj način sprječavamo pokretanje usluga za koje ni sami ne znamo postoje li ili za što služe. To osigurava da se sva postavljanja izvode samostalno.
• Preporučuje se da se poslužitelj ne koristi kao svakodnevna radna stanica. (Uz koji čitate ovaj post. Na primjer)
• Nadam se da poslužitelj nema grafičko okruženje

Pregrađivanje.

• Preporučuje se da se mape koje koristi korisnik, poput "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /", dodijele drugoj particiji od sistemske.
• Kritične mape poput "/ var / log" (tamo gdje su pohranjeni svi sistemski dnevnici) stavljaju se na drugu particiju.
• Sada, ovisno o vrsti poslužitelja, ako je to na primjer poslužitelj pošte. Mapa "/var/mail i / ili /var/spool/mail»Trebala bi biti zasebna particija.

Lozinka.

Nikome nije tajna da lozinka korisnika sustava i / ili drugih vrsta usluga koje ih koriste mora biti sigurna.

Preporuke su:

• To ne sadrži: Vaše ime, ime vašeg ljubimca, ime rođaka, posebni datumi, mjesta itd. U zaključku. Lozinka ne bi smjela sadržavati bilo što što je povezano s vama, niti bilo što što vas okružuje ili vaš svakodnevni život, niti bi trebala imati bilo što povezano sa samim računom.  primjer: twitter # 123.
• Lozinka također mora biti u skladu s parametrima kao što su: Kombiniraj velika, mala slova, brojeve i posebne znakove.  primjer: DiAFsd · 354 USD ″

Nakon instalacije sustava

• To je nešto osobno. Ali volim izbrisati ROOT korisnika i dodijeliti sve privilegije drugom korisniku, pa izbjegavam napade na tog korisnika. Biti vrlo čest.

• Vrlo je praktično pretplatiti se na mailing listu na kojoj se najavljuju sigurnosne pogreške distribucije koju koristite. Pored blogova, bugzille ili drugih slučajeva koji vas mogu upozoriti na moguće bugove.
• Kao i uvijek, preporučuje se stalno ažuriranje sustava kao i njegovih komponenti.
• Neki ljudi preporučuju i zaštitu Gruba ili LILO-a i našeg BIOS-a lozinkom.
• Postoje alati poput "chage" koji omogućuju da korisnici budu prisiljeni mijenjati lozinku svaki X put, uz minimalno vrijeme koje moraju pričekati da to učine i druge opcije.

Postoji mnogo načina da osiguramo naše računalo. Sve gore navedeno bilo je prije instaliranja usluge. I samo spomenite nekoliko stvari.

Postoje prilično opsežni priručnici koje vrijedi pročitati. kako biste naučili o ovom neizmjernom moru mogućnosti. S vremenom ćete naučiti jednu ili drugu sitnicu. I shvatit ćete da to uvijek nedostaje .. Uvijek ...

Sad osigurajmo malo više USLUGE. Moja prva preporuka je uvijek: "NE NApuštajte zadane konfiguracije". Uvijek idite na datoteku za konfiguraciju usluge, pročitajte malo o tome što čini svaki parametar i ne ostavljajte je kad je instalirana. Uvijek sa sobom donosi probleme.

Međutim:

SSH (/ etc / ssh / sshd_config)

U SSH možemo učiniti mnoge stvari tako da ih nije tako lako prekršiti.

Na primjer:

-Nemojte dopustiti ROOT prijavu (u slučaju da je niste promijenili):

"PermitRootLogin no"

-Ne dopustite da lozinke budu prazne.

"PermitEmptyPasswords no"

-Promijenite port na kojem sluša.

"Port 666oListenAddress 192.168.0.1:666"

-Autorizirajte samo određene korisnike.

"AllowUsers alex ref me@somewhere"   Me @ negdje je prisiliti tog korisnika da se uvijek poveže s iste IP adrese.

-Odobri određene skupine.

"AllowGroups wheel admin"

Savjeti.

• Sasvim je sigurno, a također je i gotovo obavezno smještanje ssh korisnika u kavez putem chroota.
• Također možete onemogućiti prijenos datoteka.
• Ograničite broj neuspjelih pokušaja prijave.

Gotovo neophodni alati.

Fail2ban: Ovaj alat koji se nalazi u repos-ovima omogućuje nam ograničavanje broja pristupa mnogim vrstama usluga "ftp, ssh, apache ... itd.", Zabranjujući ip koji premašuje ograničenje pokušaja.

Učvršćivači: Oni su alati koji nam omogućuju da "otvrdnemo", odnosno naoružamo našu instalaciju vatrozidima i / ili drugim primjerima. Među njima "stvrdnuti i Bastille Linux«

Detektori uljeza: Postoje mnogi NIDS, HIDS i drugi alati koji nam omogućuju da se spriječimo i zaštitimo od napada putem dnevnika i upozorenja. Među mnogim drugim alatima. Postoji "OSSEC«

U zaključku. Ovo nije bio sigurnosni priručnik, već je to bio niz predmeta koje je trebalo uzeti u obzir da bi imali prilično siguran poslužitelj.

Kao osobni savjet. Pročitajte puno o tome kako pregledavati i analizirati DNEVNIKE, i postanimo neki Iptables štreberi. Uz to, što je više softvera instalirano na poslužitelju, to postaje ranjiviji, na primjer CMS-om se mora dobro upravljati, ažurirati ga i dobro pogledati kakve dodatke dodajemo.

Kasnije želim poslati post o tome kako osigurati nešto određeno. Ako mogu dati više detalja i odraditi praksu.