Védje otthoni szerverét a külső támadásokkal szemben.

@Jlcmux

5 perc

Ma adok néhány tippet arról, hogyan lehet biztonságosabb otthoni szerver (vagy egy kicsit nagyobb). De mielőtt élve széttépnének.

SEMMI NEM TELJESEN BIZTONSÁGOS

Ezzel a jól körülhatárolható fenntartással folytatom.

Részletenként megyek, és nem fogom nagyon alaposan elmagyarázni az egyes folyamatokat. Csak megemlítem és tisztázom az egyik vagy másik apróságot, így egyértelműbb elképzeléssel mehetnek a Google-hez, hogy mit keresnek.

Telepítés előtt és közben

  • Erősen ajánlott, hogy a szervert a lehető legkevésbé telepítsék. Így megakadályozzuk olyan szolgáltatások futtatását, amelyekről nem is tudjuk, hogy vannak-e, vagy mire szolgálnak. Ez biztosítja, hogy az összes beállítás önállóan fusson.
  • Javasoljuk, hogy a kiszolgálót ne használja mindennapi munkaállomásként. (Amellyel ezt a bejegyzést olvassa. Például)
  • Remélem, hogy a szerver nem rendelkezik grafikus környezettel

Felosztás.

  • Javasoljuk, hogy a felhasználó által használt mappákat, például a "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /" más partícióhoz rendelje, mint a rendszer.
  • A kritikus mappák, például a "/ var / log" (ahol az összes rendszernapló tárolva van) egy másik partícióra kerülnek.
  • Most, a kiszolgáló típusától függően, ha például egy levelező szerverről van szó. Mappa "/var/mail és / vagy a /var/spool/mail»Külön partíciónak kell lennie.

Jelszó.

Senki előtt nem titok, hogy a rendszerhasználók és / vagy az őket használó más típusú szolgáltatások jelszavának biztonságosnak kell lennie.

Az ajánlások a következők:

  • Ez nem tartalmazza: Neve, háziállata neve, rokonai neve, különleges időpontok, helyek stb. Összefoglalva. A jelszónak nem szabad kapcsolódnia magához, semmihez, ami körülveszi Önt vagy a mindennapi életét, és semmilyenhez nem kapcsolódhat magához a fiókhoz.  Példa: 123. twitter.
  • A jelszónak meg kell felelnie a következő paramétereknek is: Nagybetűk, kisbetűk, számok és speciális karakterek kombinálása.  Példa: DiAFsd · 354 USD

A rendszer telepítése után

  • Valami személyes. De szeretem törölni a ROOT felhasználót, és minden jogosultságot egy másik felhasználóhoz rendelni, ezért kerülöm az adott felhasználó elleni támadásokat. Nagyon gyakori.
Az / etc / sudoers fájlt szerkeszteni kell. Ott hozzáadjuk a felhasználót, hogy gyökér akarunk lenni, majd töröljük a régi Szuperfelhasználónkat (ROOT)
  • Nagyon praktikus feliratkozni egy levelezőlistára, ahol bejelentik az Ön által használt terjesztés biztonsági hibáit. A blogokon kívül a bugzilla vagy más olyan esetek, amelyek figyelmeztethetnek a lehetséges hibákra.
  • Mint mindig, ajánlott a rendszer és annak összetevőinek folyamatos frissítése.
  • Vannak, akik azt javasolják, hogy a Grub vagy a LILO és a BIOS-t is védjék jelszóval.
  • Vannak olyan eszközök, mint a "chage", amelyek lehetővé teszik a felhasználók számára, hogy minden X alkalommal megváltoztassák a jelszavukat, a minimális várakozási idő mellett és az egyéb lehetőségek mellett.

Számos módon biztosíthatjuk számítógépünket. A fentiek mindegyike a szolgáltatás telepítése előtt volt. És csak említsen meg néhány dolgot.

Vannak elég terjedelmes kézikönyvek, amelyeket érdemes elolvasni. hogy megismerje a lehetőségek óriási tengerét. Idővel megtanul egy-egy apróságot. És rájössz, hogy mindig hiányzik .. Mindig ...

Most biztosítsunk egy kicsit többet SZOLGÁLTATÁSOK. Az első ajánlásom mindig: «NE hagyja el az alapértelmezett konfigurációkat». Mindig menjen a szolgáltatás konfigurációs fájljához, olvasson el egy kicsit arról, hogy mit csinálnak az egyes paraméterek, és ne hagyja azokat telepítéskor. Mindig problémákat okoz vele.

Azonban:

SSH (/ etc / ssh / sshd_config)

Az SSH-ban sok mindent megtehetünk, hogy ne legyen olyan könnyű megsérteni.

Például:

-Ne engedélyezze a ROOT bejelentkezést (ha nem változtatta meg):

"PermitRootLogin no"

-Ne hagyd, hogy a jelszavak üresek legyenek.

"PermitEmptyPasswords no"

-Változtassa meg azt a portot, ahol hallgat.

"Port 666oListenAddress 192.168.0.1:666"

- Csak bizonyos felhasználókat engedélyezhet.

"AllowUsers alex ref me@somewhere"   A me @ valahol arra kényszeríti a felhasználót, hogy mindig ugyanarról az IP-ről csatlakozzon.

- Engedélyezzen meghatározott csoportokat.

"AllowGroups wheel admin"

Tippek.

  • Elég biztonságos és szinte kötelező az ssh felhasználók ketrecbe helyezése a chroot révén.
  • Letilthatja a fájlátvitelt is.
  • Korlátozza a sikertelen bejelentkezési kísérletek számát.

Szinte nélkülözhetetlen eszközök.

Fail2ban: Ez a repóban lévő eszköz lehetővé teszi számunkra, hogy korlátozzuk a hozzáférések számát számos típusú szolgáltatáshoz ("ftp, ssh, apache ... stb."), ​​Megtiltva az ip-ket, amelyek túllépik a próbálkozások határát.

Keményítők: Ezek olyan eszközök, amelyek lehetővé teszik számunkra, hogy "megkeményítsük", vagy inkább élesítsük a telepítést tűzfalakkal és / vagy más példányokkal. Közöttük "Megkeményedik és a Bastille Linux«

Behatoló érzékelők: Számos NIDS, HIDS és egyéb eszköz létezik, amelyek lehetővé teszik számunkra, hogy naplókon és riasztásokon keresztül megelőzzük és megvédjük magunkat a támadásoktól. Sok egyéb eszköz mellett. Létezik "OSSEC«

Összefoglalva. Ez nem egy biztonsági kézikönyv volt, inkább egy sor tétel volt, amelyeket figyelembe kell venni, hogy meglehetősen biztonságos szerver legyen.

Személyes tanácsként. Sokat olvashat a LOGS megtekintéséről és elemzéséről, és váljunk néhány Iptables nerd-ként. Ráadásul minél több szoftvert telepít a szerverre, annál sérülékenyebbé válik, például egy CMS-t jól kell kezelni, frissíteni kell és alaposan meg kell nézni, hogy milyen plugineket adunk hozzá.

Később szeretnék küldeni egy bejegyzést arról, hogyan lehet biztosítani valami konkrét dolgot. Ott, ha tudok további részleteket megadni és gyakorolni.


Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.

  1.   elynx dijo
    ezelőtt 11 év

    Kedvencekbe mentve!

    Üdvözlet!

    Válasz Elynx-nek
  2.   Ivan Barra dijo
    ezelőtt 11 év

    Kiváló TIPPEK, nos, tavaly egy "Fontos NEMZETI Légitársaság" -ba telepítettem több biztonsági és felügyeleti rendszert, és meglepődtem, amikor megtudtam, hogy a több tízmillió dolláros felszerelés (SUN Solaris, Red Hat, VM WARE) ellenére , Windows Server, Oracle DB stb.), NADA biztonság.

    A Nagios, a Nagvis, a Centreon PNP4Nagios, a Nessus és az OSSEC szolgáltatásokat használtam, a root jelszó nyilvános volt, nos, egy év alatt mindent megtisztítottak, amit érdemes sok pénzt keresni, de rengeteg tapasztalatot is kellett szerezniük az ilyen típusú alkalmazásokban. dolog. Soha nem árt figyelembe venni mindazt, amit most elmagyaráztál.

    Üdvözlet.

    Válasz Iván Barra-nak
  3.   Blaire pascal dijo
    ezelőtt 11 év

    Szép. Közvetlenül a kedvenceimhez.

    Válasz Blaire Pascal-nak
  4.   guzman6001 dijo
    ezelőtt 11 év

    Remek cikk ... <3

    Válasz a guzman6001 címre
  5.   Juan Ignacio dijo
    ezelőtt 11 év

    Che, legközelebb folytathatja az ossec vagy más eszközök használatának elmagyarázását! Nagyon jó a bejegyzés! Többet kérlek!

    Válasz Juan Ignacio-nak
    1.    Ivan Barra dijo
      ezelőtt 11 év

      Februárban a nyaralásom érdekében szeretnék együttműködni egy Nagios-állomással és felügyeleti eszközökkel.

      Üdvözlet.

      Válasz Iván Barra-nak
  6.   koratsuki dijo
    ezelőtt 11 év

    Jó cikk, azt terveztem, hogy csak megjavítom a PC -imet, hogy átfogóbb könyvet írjak, de megelőztél engem xD. Jó hozzájárulás!

    Válasz Koratsuki-nak
  7.   Arturo Molina dijo
    ezelőtt 11 év

    Szeretnék látni egy behatolásérzékelőknek szóló bejegyzést is. Így hozzáadom a kedvencekhez.

    Válasz Arturo Molinának