Lindungi server rumah Anda dari serangan eksternal.

@Jlcmux

5 menit

Hari ini, saya akan memberi Anda beberapa tip tentang cara memiliki server rumah yang lebih aman (atau sedikit lebih besar). Tapi sebelum mereka mencabik-cabikku hidup-hidup.

TIDAK ADA YANG BENAR-BENAR AMAN

Dengan reservasi yang jelas ini, saya melanjutkan.

Saya akan membahas bagian demi bagian dan saya tidak akan menjelaskan setiap proses dengan sangat hati-hati. Saya hanya akan menyebutkan dan mengklarifikasi satu atau lain hal, sehingga mereka dapat membuka Google dengan gagasan yang lebih jelas tentang apa yang mereka cari.

Sebelum dan selama pemasangan

  • Sangat disarankan agar server diinstal "seminimal mungkin". Dengan cara ini kami mencegah layanan berjalan yang bahkan tidak kami ketahui ada, atau untuk apa layanan tersebut. Ini memastikan bahwa semua penyiapan berjalan sendiri.
  • Disarankan agar server tidak digunakan sebagai workstation sehari-hari. (Dengan mana Anda membaca posting ini. Misalnya)
  • Saya harap server tidak memiliki lingkungan grafis

Mempartisi.

  • Direkomendasikan bahwa folder yang digunakan oleh pengguna seperti "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /" ditetapkan ke partisi yang berbeda dari yang ada di sistem.
  • Folder penting seperti "/ var / log" (Tempat semua log sistem disimpan) diletakkan di partisi yang berbeda.
  • Sekarang, tergantung pada jenis servernya, jika misalnya itu adalah server email. Folder "/var/mail dan / atau /var/spool/mail»Harus menjadi partisi terpisah.

Kata sandi.

Bukan rahasia lagi bagi siapa pun bahwa kata sandi pengguna sistem dan / atau jenis layanan lain yang menggunakannya harus aman.

Rekomendasinya adalah:

  • Itu tidak mengandung: Nama Anda, Nama hewan peliharaan Anda, Nama kerabat, Tanggal khusus, Tempat, dll. Kesimpulannya. Kata sandi tidak boleh memiliki apa pun yang berhubungan dengan Anda, atau apa pun yang mengelilingi Anda atau kehidupan sehari-hari Anda, juga tidak boleh memiliki apa pun yang terkait dengan akun itu sendiri.  Contoh: twitter # 123.
  • Kata sandi juga harus sesuai dengan parameter seperti: Gabungkan huruf besar, huruf kecil, angka dan karakter khusus.  Contoh: DiAFsd · $ 354 ″

Setelah menginstal sistem

  • Itu sesuatu yang pribadi. Tapi saya suka menghapus pengguna ROOT dan menetapkan semua hak istimewa ke pengguna lain, jadi saya menghindari serangan terhadap pengguna itu. Menjadi sangat umum.
File / etc / sudoers harus diedit. Di sana kami menambahkan pengguna yang kami ingin ROOT dan kemudian kami menghapus Pengguna Super lama kami (ROOT)
  • Sangat praktis untuk berlangganan milis di mana mereka mengumumkan bug keamanan dari distribusi yang Anda gunakan. Selain blog, bugzilla atau contoh lain yang dapat memperingatkan Anda tentang kemungkinan Bug.
  • Seperti biasa, pembaruan sistem serta komponennya secara konstan direkomendasikan.
  • Beberapa orang merekomendasikan juga mengamankan Grub atau LILO dan BIOS kami dengan kata sandi.
  • Ada alat seperti "chage" yang memungkinkan pengguna untuk dipaksa mengubah kata sandi mereka setiap X kali, selain waktu minimum mereka harus menunggu untuk melakukannya dan opsi lainnya.

Ada banyak cara untuk mengamankan PC kita. Semua hal di atas sebelum menginstal layanan. Dan sebutkan beberapa hal saja.

Ada manual yang cukup ekstensif yang layak dibaca. untuk mempelajari tentang lautan kemungkinan yang sangat besar ini .. Seiring waktu, Anda akan mempelajari satu hal atau lainnya. Dan Anda akan menyadari bahwa itu selalu hilang .. Selalu ...

Sekarang mari kita pastikan sedikit lebih banyak JASA. Rekomendasi pertama saya selalu: «JANGAN TINGGALKAN KONFIGURASI DEFAULT». Selalu buka file konfigurasi layanan, baca sedikit tentang apa yang dilakukan setiap parameter dan jangan tinggalkan saat diinstal. Itu selalu membawa masalah dengannya.

Namun:

SSH (/ etc / ssh / sshd_config)

Di SSH kita bisa melakukan banyak hal agar tidak mudah dilanggar.

Sebagai contoh:

-Jangan izinkan login ROOT (Jika Anda belum mengubahnya):

"PermitRootLogin no"

-Jangan biarkan kata sandi kosong.

"PermitEmptyPasswords no"

-Mengubah port tempat ia mendengarkan.

"Port 666oListenAddress 192.168.0.1:666"

-Mengotorisasi hanya pengguna tertentu.

"AllowUsers alex ref me@somewhere"   Me @ where adalah untuk memaksa pengguna tersebut agar selalu terhubung dari IP yang sama.

-Mengotorisasi kelompok tertentu.

"AllowGroups wheel admin"

Tips.

  • Ini cukup aman dan juga hampir wajib untuk mengurung pengguna ssh melalui chroot.
  • Anda juga dapat menonaktifkan transfer file.
  • Batasi jumlah upaya login yang gagal.

Alat yang hampir penting.

Gagal2ban: Alat yang ada di repo ini, memungkinkan kita membatasi jumlah akses ke banyak jenis layanan "ftp, ssh, apache ... dll", melarang ip yang melebihi batas percobaan.

Pengeras: Mereka adalah alat yang memungkinkan kita untuk "memperkuat" atau mempersenjatai instalasi kita dengan Firewall dan / atau contoh lainnya. Diantara mereka "Mengeras dan Bastille Linux«

Detektor penyusup: Ada banyak NIDS, HIDS, dan perangkat lain yang memungkinkan kita mencegah dan melindungi diri dari serangan, melalui log dan peringatan. Di antara banyak alat lainnya. Ada "OSSEC«

Kesimpulannya. Ini bukan manual keamanan, melainkan serangkaian item yang harus diperhatikan agar memiliki server yang cukup aman.

Sebagai nasihat pribadi. Baca banyak tentang cara melihat dan menganalisis LOG, dan mari kita menjadi beberapa kutu buku Iptables. Selain itu, semakin banyak Software yang diinstal di server, semakin rentan jadinya, misalnya CMS harus dikelola dengan baik, memperbaruinya dan melihat dengan baik jenis plugin yang kita tambahkan.

Nanti saya ingin mengirim posting tentang bagaimana memastikan sesuatu yang spesifik. Disana jika saya bisa memberikan lebih detail dan melakukan latihan.


tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Penanggung jawab data: Miguel Ángel Gatón
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.

  1.   elynx dijo
    dahulu 11 tahun

    Disimpan di favorit!

    Salam!

    Balas ke Elynx
  2.   Ivan Barra dijo
    dahulu 11 tahun

    TIPS yang sangat baik, yah, tahun lalu, saya menginstal beberapa sistem keamanan dan pemantauan "Important NATIONAL AIRLINE" dan saya terkejut mengetahui bahwa meskipun ada beberapa puluh juta dolar dalam peralatan (SUN Solaris, Red Hat, VM WARE, Windows Server, Oracle DB, dll), keamanan NADA.

    Saya menggunakan Nagios, Nagvis, Centreon PNP4Nagios, Nessus dan OSSEC, kata sandi root adalah pengetahuan publik, yah, dalam setahun semua itu dibersihkan, yang layak menghasilkan banyak uang, tetapi juga banyak pengalaman dalam jenis ini benda. Tidak ada salahnya untuk mempertimbangkan semua yang baru saja Anda jelaskan.

    Salam.

    Balas ke Iván Barra
  3.   Blaire pascal dijo
    dahulu 11 tahun

    Bagus. Langsung ke favorit saya.

    Balas Blaire Pascal
  4.   guzman6001 dijo
    dahulu 11 tahun

    Artikel bagus ... <3

    Balas ke guzman6001
  5.   Juan Ignacio dijo
    dahulu 11 tahun

    Che, lain kali Anda bisa melanjutkan menjelaskan cara menggunakan ossec atau alat lainnya! Sangat bagus posnya! Lagi dong!

    Balas ke Juan Ignacio
    1.    Ivan Barra dijo
      dahulu 11 tahun

      Di bulan Februari, untuk liburan saya, saya ingin bekerja sama dengan pos Nagios dan alat pemantauan.

      Salam.

      Balas ke Iván Barra
  6.   koratsuki dijo
    dahulu 11 tahun

    Artikel yang bagus, saya berencana hanya untuk memperbaiki PC saya untuk menulis satu tilin yang lebih komprehensif, tetapi Anda mendahului saya xD. Kontribusi yang bagus!

    Balas Koratsuki
  7.   Arturo Molina dijo
    dahulu 11 tahun

    Saya juga ingin melihat pos yang didedikasikan untuk pendeteksi intrusi. Seperti ini saya menambahkannya ke favorit.

    Balas Arturo Molina