ホームサーバーを外部からの攻撃から保護します。

今日は、より安全な(または少し大きい)ホームサーバーを作成するためのヒントをいくつか紹介します。 しかし、彼らが私を生きて引き裂く前に。

何も完全に安全ではありません

この明確な予約で、私は続けます。

パーツごとに説明しますが、各プロセスについてはあまり注意深く説明しません。 私はそれについて言及し、何かを明確にするだけなので、彼らは彼らが探しているものについてより明確な考えを持ってGoogleに行くことができます。

インストール前およびインストール中

  • サーバーは可能な限り「最小限」にインストールすることを強くお勧めします。 このようにして、サービスが存在することや、その目的がわからないサービスが実行されないようにします。 これにより、すべてのセットアップが自分で実行されるようになります。
  • サーバーを日常のワークステーションとして使用しないことをお勧めします。 (あなたはこの投稿を読んでいます。例えば)
  • サーバーにグラフィカル環境がないことを願っています

パーティショニング。

  • 「/ home /」「/ tmp /」「/ var / tmp /」「/ opt /」など、ユーザーが使用するフォルダは、システムとは別のパーティションに割り当てることをお勧めします。
  • 「/ var / log」(すべてのシステムログが保存される場所)などの重要なフォルダーは、別のパーティションに配置されます。
  • さて、サーバーの種類に応じて、たとえばメールサーバーの場合。 フォルダー "/var/mail および/または /var/spool/mail»別のパーティションである必要があります。

パスワード。

システムユーザーおよび/またはそれらを使用する他のタイプのサービスのパスワードが安全でなければならないことは誰にとっても秘密ではありません。

推奨事項は次のとおりです。

  • それは含まれていません: あなたの名前、あなたのペットの名前、親戚の名前、特別な日付、場所など。 結論として。 パスワードには、あなたに関連するもの、またはあなたやあなたの日常生活に関連するものを含めたり、アカウント自体に関連したものを含めたりしないでください。  例: ツイッター#123。
  • パスワードは、大文字、小文字、数字、特殊文字を組み合わせるなどのパラメータにも準拠している必要があります。  例: DiAFsd・$ 354″

システムをインストールした後

  • それは個人的なものです。 しかし、私はROOTユーザーを削除し、すべての特権を別のユーザーに割り当てるのが好きなので、そのユーザーへの攻撃を避けます。 非常に一般的であること。
/ etc / sudoersファイルを編集する必要があります。 そこで、ROOTにしたいユーザーを追加してから、古いスーパーユーザー(ROOT)を削除します。
  • 使用するディストリビューションのセキュリティバグが発表されているメーリングリストに登録することは非常に実用的です。 ブログ、バグジラ、またはバグの可能性を警告できるその他のインスタンスに加えて。
  • いつものように、システムとそのコンポーネントを定期的に更新することをお勧めします。
  • GrubまたはLILOとBIOSをパスワードで保護することをお勧めする人もいます。
  • 「chage」のようなツールがあり、ユーザーがX回ごとにパスワードを変更するように強制できるほか、変更を待つ必要がある最小時間やその他のオプションもあります。

PCを保護する方法はたくさんあります。 上記はすべて、サービスをインストールする前のものです。 そして、いくつかのことを述べてください。

読む価値のある非常に広範なマニュアルがあります。 この広大な可能性の海について学ぶために..時間の経過とともに、あなたは何かを学びます。 そして、あなたはそれが常に欠けていることに気付くでしょう..常に..。

もう少し確認しましょう サービス。 私の最初の推奨事項は常に: «デフォルト設定のままにしないでください»。 常にサービス構成ファイルに移動し、各パラメーターの機能について少し読んで、インストールされたままにしないでください。 それは常に問題を引き起こします。

しかしながら:

SSH(/ etc / ssh / sshd_config)

SSHでは、違反しにくいように多くのことができます。

例えば:

-ROOTログインを許可しない(変更していない場合):

"PermitRootLogin no"

-パスワードを空白にしないでください。

"PermitEmptyPasswords no"

-リッスンするポートを変更します。

"Port 666oListenAddress 192.168.0.1:666"

-特定のユーザーのみを承認します。

"AllowUsers alex ref me@somewhere"   me @ somewhereは、そのユーザーに常に同じIPから接続するように強制することです。

-特定のグループを承認します。

"AllowGroups wheel admin"

チップ。

  • 非常に安全であり、chrootを介してsshユーザーをケージに入れることもほぼ必須です。
  • ファイル転送を無効にすることもできます。
  • ログイン試行の失敗回数を制限します。

ほとんど不可欠なツール。

Fail2ban: リポジトリにあるこのツールを使用すると、さまざまな種類のサービス(ftp、ssh、apache ...など)へのアクセス数を制限して、試行の制限を超えるIPを禁止できます。

硬化剤: これらは、インストールをファイアウォールやその他のインスタンスで「強化」または武装させることを可能にするツールです。 その中で "Harden およびBastilleLinux«

侵入者検出器: ログやアラートを通じて、攻撃を防止および保護するためのNIDS、HIDS、およびその他のツールが多数あります。 他の多くのツールの中で。 存在する」OSSEC«

結論として。 これはセキュリティマニュアルではなく、かなり安全なサーバーを構築するために考慮すべき一連の項目でした。

個人的なアドバイスとして。 LOGSを表示および分析する方法についてたくさん読んで、Iptablesオタクになりましょう。 さらに、サーバーにインストールされるソフトウェアが多いほど、脆弱性が高くなります。たとえば、CMSを適切に管理し、更新して、追加するプラグインの種類をよく確認する必要があります。

後で、特定の何かを確実にする方法についての投稿を送りたいと思います。 詳細を教えて練習できれば、そこにあります。


記事の内容は、次の原則に準拠しています。 編集倫理。 エラーを報告するには、 ここで.

8コメント、あなたのコメントを残してください

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   エリンクス

    お気に入りに保存!

    ご挨拶!

  2.   イワン・バラ

    優れたヒント、昨年、私は「重要なNATIONAL AIRLINE」にいくつかのセキュリティおよび監視システムをインストールしましたが、数千万ドルの機器(SUN Solaris、Red Hat、VM WARE、Windows)があるにもかかわらず、驚きました。サーバー、Oracle DBなど)、セキュリティは何もありません。

    Nagios、Nagvis、Centreon PNP4Nagios、Nessus、OSSECを使用しました。ルートパスワードは公開されていました。XNUMX年ですべてがクリーンアップされ、多くのお金を稼ぐ価値がありましたが、この種のことについても多くの経験がありました。 あなたが今説明したことすべてを考慮に入れることは決して痛いことではありません。

    ご挨拶。

  3.   ブレアパスカル

    いいね。 私のお気に入りに直接。

  4.   guzman6001

    素晴らしい記事... <3

  5.   フアンイグナシオ

    チェ、次はossecや他のツールの使い方を説明し続けることができます! とても良い投稿です! もっとください!

    1.    イワン・バラ

      XNUMX月の休暇では、Nagiosの投稿ツールと監視ツールに協力したいと思います。

      ご挨拶。

  6.   コラツキ

    良い記事です。PCを修理して、より包括的なtilinを作成することを計画していましたが、xDよりも先に進んでいます。 良い貢献!

  7.   アルトゥーロモリーナ

    また、侵入検知器専用の投稿も見たいです。 このように私はそれをお気に入りに追加します。