오늘은 더 안전한 홈 서버 (또는 조금 더 큰 서버)를 만드는 방법에 대한 몇 가지 팁을 알려 드리겠습니다. 그러나 그들이 나를 산채로 찢어 버리기 전에.
완전히 안전한 것은 없습니다
이 잘 정의 된 예약으로 계속합니다.
나는 부분별로 갈 것이고 각 과정을 매우 신중하게 설명하지 않을 것입니다. 나는 그것을 언급하고 하나 또는 다른 작은 것을 명확히 할 것이므로 그들이 찾고있는 것에 대한 더 명확한 아이디어로 Google에 갈 수 있습니다.
설치 전 및 설치 중
- 서버는 가능한 "최소"로 설치하는 것이 좋습니다. 이렇게하면 서비스가 존재하는지 또는 그 용도가 무엇인지 알지 못하는 서비스가 실행되는 것을 방지 할 수 있습니다. 이렇게하면 모든 설정이 자체적으로 실행됩니다.
- 서버를 일상적인 워크 스테이션으로 사용하지 않는 것이 좋습니다. (이 게시물을 읽고 있습니다. 예)
- 서버에 그래픽 환경이 없기를 바랍니다.
파티셔닝.
- "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /"와 같이 사용자가 사용하는 폴더는 시스템 파티션과 다른 파티션에 할당하는 것이 좋습니다.
- "/ var / log"(모든 시스템 로그가 저장되는 위치)와 같은 중요한 폴더는 다른 파티션에 배치됩니다.
- 이제 서버 유형에 따라 예를 들어 메일 서버 인 경우. 폴더 "
/var/mail
및 / 또는/var/spool/mail
»별도의 파티션이어야합니다.
암호.
시스템 사용자 및 / 또는이를 사용하는 다른 유형의 서비스의 암호가 안전해야한다는 것은 누구에게도 비밀이 아닙니다.
권장 사항은 다음과 같습니다.
- 다음은 포함되지 않습니다. 귀하의 이름, 애완 동물 이름, 친척 이름, 특별 날짜, 장소 등 결론적으로. 비밀번호에는 귀하와 관련된 어떤 것도 포함되어서는 안되며, 귀하 또는 귀하의 일상 생활을 둘러싼 어떤 것도 포함되어서는 안되며, 계정 자체와 관련된 것도 없어야합니다. 예 : 트위터 # 123.
- 암호는 대문자, 소문자, 숫자 및 특수 문자 결합과 같은 매개 변수도 준수해야합니다. 예 : DiAFsd · $ 354 ″
시스템 설치 후
- 개인적인 것입니다. 하지만 ROOT 사용자를 삭제하고 모든 권한을 다른 사용자에게 할당하는 것을 좋아하므로 해당 사용자에 대한 공격을 피합니다. 매우 흔합니다.
- 사용하는 배포판의 보안 버그가 발표되는 메일 링리스트에 가입하는 것은 매우 실용적입니다. 가능한 버그에 대해 경고 할 수있는 블로그, bugzilla 또는 기타 인스턴스 외에도.
- 항상 그렇듯이 시스템과 구성 요소를 지속적으로 업데이트하는 것이 좋습니다.
- 어떤 사람들은 Grub 또는 LILO와 BIOS를 암호로 보호 할 것을 권장합니다.
- 사용자가 암호를 변경하기 위해 기다려야하는 최소 시간 및 기타 옵션 외에도 사용자가 X 회마다 암호를 변경하도록하는 "chage"와 같은 도구가 있습니다.
PC를 보호하는 방법에는 여러 가지가 있습니다. 위의 모든 사항은 서비스를 설치하기 전입니다. 그리고 몇 가지만 언급하십시오.
읽을만한 가치가있는 매우 방대한 매뉴얼이 있습니다. 이 엄청난 가능성의 바다에 대해 배우기 위해 .. 시간이 지남에 따라 당신은 하나 또는 다른 것을 배웁니다. 그리고 당신은 그것이 항상 빠졌다는 것을 깨닫게 될 것입니다 .. 항상 ...
이제 조금 더 확인합시다 서비스. 나의 첫 번째 추천은 항상 : «기본 구성을 유지하지 마십시오». 항상 서비스 구성 파일로 이동하여 각 매개 변수가 수행하는 작업에 대해 약간 읽고 설치 한 그대로 두지 마십시오. 항상 문제가 발생합니다.
하나:
SSH (/ etc / ssh / sshd_config)
SSH에서는 위반하기가 쉽지 않도록 많은 일을 할 수 있습니다.
예를 들면 다음과 같습니다
-ROOT 로그인 허용 안함 (변경하지 않은 경우) :
"PermitRootLogin no"
-비밀번호를 비워 두지 마십시오.
"PermitEmptyPasswords no"
-청취하는 포트를 변경하십시오.
"Port 666oListenAddress 192.168.0.1:666"
-특정 사용자 만 인증합니다.
"AllowUsers alex ref me@somewhere"
me @ 어딘가는 해당 사용자가 항상 동일한 IP에서 연결하도록 강제하는 것입니다.
-특정 그룹을 승인합니다.
"AllowGroups wheel admin"
팁.
- chroot를 통해 ssh 사용자를 감금하는 것은 매우 안전하며 거의 필수입니다.
- 파일 전송을 비활성화 할 수도 있습니다.
- 실패한 로그인 시도 횟수를 제한합니다.
거의 필수 도구.
Fail2ban : repos에있는이 도구를 사용하면 "ftp, ssh, apache ... etc"서비스 유형에 대한 액세스 수를 제한하여 시도 제한을 초과하는 IP를 금지 할 수 있습니다.
경화제 : 이는 방화벽 및 / 또는 기타 인스턴스로 설치를 "강화"하거나 오히려 무장시킬 수있는 도구입니다. 그들 중 "Harden 및 Bastille Linux«
침입자 탐지기 : 로그 및 경고를 통해 공격을 방지하고 보호 할 수있는 NIDS, HIDS 및 기타 도구가 많이 있습니다. 다른 많은 도구 중에서. 존재 "OSSEC«
결론적으로. 이것은 보안 매뉴얼이 아니라 상당히 안전한 서버를 갖기 위해 고려해야 할 일련의 항목이었습니다.
개인적인 조언으로. LOGS를보고 분석하는 방법에 대해 많이 읽고 Iptables 전문가가되자. 또한 서버에 더 많은 소프트웨어가 설치 될수록 취약 해집니다. 예를 들어 CMS를 잘 관리하고 업데이트하고 어떤 종류의 플러그인을 추가하는지 잘 살펴 봐야합니다.
나중에 특정 사항을 확인하는 방법에 대한 게시물을 보내고 싶습니다. 더 자세한 정보를 제공하고 연습을 할 수 있다면 거기에서.
즐겨 찾기에 저장되었습니다!
안녕하십니까!
훌륭한 팁, 음, 작년에 "중요한 NATIONAL AIRLINE"에 여러 보안 및 모니터링 시스템을 설치했고 수천만 달러의 장비 (SUN Solaris, Red Hat, VM WARE, Windows)에도 불구하고 서버, Oracle DB 등), NADA 보안.
저는 Nagios, Nagvis, Centreon PNP4Nagios, Nessus 및 OSSEC를 사용했습니다. 루트 암호는 공개 된 지식이었습니다. 맡은 일. 방금 설명한 모든 것을 고려하는 것은 결코 아프지 않습니다.
인사말.
좋은. 내 즐겨 찾기에 직접 연결합니다.
훌륭한 기사 ... <3
Che, 다음으로 ossec 또는 다른 도구를 사용하는 방법을 계속 설명 할 수 있습니다! 게시물이 아주 좋아요! 더주세요!
XNUMX 월 휴가를 위해 Nagios 포스트 및 모니터링 도구와 협력하고 싶습니다.
인사말.
좋은 기사, 더 포괄적 인 타일링을 작성하기 위해 내 PC를 수리 할 다른 계획은 없었지만 xD보다 앞서 있습니다. 좋은 공헌!
침입 탐지기 전용 게시물도보고 싶습니다. 이렇게 즐겨 찾기에 추가합니다.