הגן על שרת הבית שלך מפני התקפות חיצוניות.

היום אני אתן לך כמה טיפים כיצד לקבל שרת ביתי מאובטח יותר (או קצת יותר גדול). אבל לפני שהם קורעים אותי חי.

שום דבר לא בטוח לחלוטין

עם האזהרה המוגדרת היטב הזו, אני ממשיך.

אני הולך לפי חלקים ואני לא הולך להסביר כל תהליך בזהירות רבה. אני רק אזכיר את זה ואבהיר דבר כזה או אחר, כדי שהם יוכלו ללכת לגוגל עם מושג ברור יותר מה הם מחפשים.

לפני ההתקנה ובמהלכה

• מומלץ מאוד להתקין את השרת "מינימלי" ככל האפשר. בדרך זו אנו מונעים הפעלת שירותים שאנו אפילו לא יודעים שהם שם, או למה הם מיועדים. זה מבטיח שכל ההתקנה תפעל לבד.
• מומלץ שהשרת לא ישמש כתחנת עבודה יומיומית. (איתו אתה קורא את הפוסט הזה. לדוגמא)
• אני מקווה שלשרת אין סביבה גרפית

מחיצה.

• מומלץ שהתיקיות המשמשות את המשתמש כמו "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /" יוקצו למחיצה שונה מזו של המערכת.
• תיקיות קריטיות כמו "/ var / log" (כאשר כל יומני המערכת מאוחסנים) מונחות על מחיצה אחרת.
• כעת, תלוי בסוג השרת, אם למשל מדובר בשרת דואר. תיקיה "/var/mail ו / או /var/spool/mail»צריכה להיות מחיצה נפרדת.

סיסמה.

זה לא סוד לאף אחד שהסיסמה של משתמשי המערכת ו / או סוגים אחרים של שירותים המשתמשים בהם, חייבת להיות מאובטחת.

ההמלצות הן:

• זה לא מכיל: שמך, שם חיית המחמד שלך, שם קרובי משפחה, תאריכים מיוחדים, מקומות וכו '. לסיכום. הסיסמה לא צריכה לכלול שום דבר שקשור אליך, או כל דבר שמקיף אותך או את חיי היומיום שלך, ולא צריך שיהיה בו שום דבר שקשור לחשבון עצמו.  לדוגמה: טוויטר # 123.
• הסיסמה חייבת להיות תואמת גם לפרמטרים כגון: שלב אותיות רישיות, אותיות קטנות, מספרים ותווים מיוחדים.  לדוגמה: DiAFsd · $ 354 ″

לאחר התקנת המערכת

• זה משהו אישי. אבל אני רוצה למחוק את משתמש ה- ROOT ולהקצות את כל ההרשאות למשתמש אחר, ולכן אני נמנע מהתקפות על אותו משתמש. להיות נפוץ מאוד.

• זה מאוד מעשי להירשם לרשימת תפוצה בה הם מכריזים על באגי אבטחה של ההפצה בה אתה משתמש. בנוסף לבלוגים, באגזילה או מקרים אחרים שיכולים להזהיר אותך מפני באגים אפשריים.
• כמו תמיד, מומלץ לבצע עדכון מתמיד של המערכת כמו גם את מרכיביה.
• יש אנשים שממליצים לאבטח את Grub או LILO ואת ה- BIOS שלנו באמצעות סיסמה.
• ישנם כלים כמו "chage" המאפשרים למשתמשים להכריח את סיסמתם בכל X פעם נוספת, בנוסף לזמן המינימלי שעליהם להמתין לשם כך ואפשרויות אחרות.

ישנן דרכים רבות לאבטח את המחשב האישי שלנו. כל האמור לעיל היה לפני התקנת שירות. ורק הזכר כמה דברים.

ישנם מדריכים נרחבים למדי שכדאי לקרוא. ללמוד על ים האפשרויות העצום הזה. עם הזמן תלמד דבר כזה או אחר. ותבינו שזה תמיד חסר .. תמיד ...

עכשיו בואו נבטיח קצת יותר שירותים. ההמלצה הראשונה שלי היא תמיד: «אל תשאיר את התצורות הנכונות». עבור תמיד לקובץ תצורת השירות, קרא קצת על מה שעושה כל פרמטר ואל תשאיר אותו כשהוא מותקן. זה תמיד מביא איתו בעיות.

למרות זאת:

SSH (/ etc / ssh / sshd_config)

ב- SSH אנו יכולים לעשות דברים רבים כדי שלא יהיה כל כך קל להפר אותו.

לדוגמה:

אל תאפשר כניסה לשורש (במקרה שלא שינית אותו):

"PermitRootLogin no"

-אל תתנו לסיסמאות להיות ריקות.

"PermitEmptyPasswords no"

-שנה את היציאה במקום בו הוא מאזין.

"Port 666oListenAddress 192.168.0.1:666"

-אשר רק משתמשים מסוימים.

"AllowUsers alex ref me@somewhere"   ה- Me @ איפשהו הוא לאלץ אותו משתמש להתחבר תמיד מאותה IP.

-אשר קבוצות ספציפיות.

"AllowGroups wheel admin"

טיפים.

• זה די בטוח וגם כמעט חובה לכלוב משתמשים ב- ssh באמצעות chroot.
• ניתן גם להשבית את העברת הקבצים.
• הגבל את מספר ניסיונות הכניסה שנכשלו.

כלים כמעט חיוניים.

Fail2ban: כלי זה שנמצא במילואים חוזרים, מאפשר לנו להגביל את מספר הגישות לסוגים רבים של שירותים "ftp, ssh, apache ... וכו '", תוך איסור על ה- ip העולה על מגבלת הניסיונות.

מקשיחים: הם כלים המאפשרים לנו "להתקשות" או ליתר דיוק לחמש את ההתקנה שלנו באמצעות חומות אש ו / או מקרים אחרים. ביניהם "הרדן ובסטיליה לינוקס«

גלאי חדירה: ישנם NIDS, HIDS וכלים רבים המאפשרים לנו למנוע ולהגן על עצמנו מפני התקפות, באמצעות יומנים והתראות. בין כלים רבים אחרים. קיים "OSSEC«

לסיכום. זה לא היה מדריך אבטחה, אלא הם היו סדרה של פריטים שיש לקחת בחשבון כדי שיהיה להם שרת מאובטח למדי.

כיועץ אישי. קראו הרבה כיצד להציג ולנתח LOGS, ובואו נהיה כמה חנונים של Iptables. בנוסף, ככל שמותקנת יותר תוכנה בשרת כך היא הופכת לפגיעה יותר, למשל CMS צריך להיות מנוהל היטב, מעדכן אותה ובודק היטב איזה סוג תוספים אנו מוסיפים.

בהמשך אני רוצה לשלוח פוסט כיצד להבטיח משהו ספציפי. שם אם אוכל לתת פרטים נוספים ולעשות את התרגול.