Šodien es jums došu dažus padomus, kā izveidot drošāku mājas serveri (vai mazliet lielāku). Bet pirms viņi mani saplēš dzīvu.
NEKAS nav pilnīgi drošs
Ar šo precīzi definēto atrunu es turpinu.
Es eju pa daļām, un es neskaidrošu katru procesu ļoti uzmanīgi. Es to tikai pieminēšu un precizēšu vienu vai otru sīkumu, lai viņi varētu iet uz Google ar skaidrāku priekšstatu par to, ko viņi meklē.
Pirms instalēšanas un tās laikā
- Ļoti ieteicams serveri instalēt pēc iespējas "minimālāk". Tādā veidā mēs neļaujam darboties pakalpojumiem, par kuriem mēs pat nezinām, vai tie ir paredzēti vai kam tie domāti. Tas nodrošina, ka visa iestatīšana notiek patstāvīgi.
- Serveri ieteicams neizmantot kā ikdienas darbstaciju. (Ar kuru jūs lasāt šo ziņu. Piemēram)
- Cerams, ka serverim nav grafiskas vides
Sadalīšana.
- Lietotāja izmantotās mapes, piemēram, "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /", ieteicams piešķirt citam nodalījumam nekā sistēmai.
- Kritiskās mapes, piemēram, "/ var / log" (kur glabājas visi sistēmas žurnāli), tiek ievietotas citā nodalījumā.
- Tagad, atkarībā no servera veida, ja, piemēram, tas ir pasta serveris. Mape "
/var/mail
un / vai/var/spool/mail
»Jābūt atsevišķam nodalījumam.
Parole.
Nevienam nav noslēpums, ka sistēmas lietotāju un / vai cita veida pakalpojumu, kas tos izmanto, parolei jābūt drošai.
Ieteikumi ir:
- Tas nesatur: Jūsu vārds, mājdzīvnieka vārds, radinieku vārds, īpašie datumi, vietas utt. Noslēgumā. Parolē nedrīkst būt nekas, kas saistīts ar tevi, vai nekas, kas ieskauj tevi vai tavu ikdienas dzīvi, kā arī nedrīkst būt saistīts ar pašu kontu. piemērs: twitter # 123. lpp.
- Parolei jāatbilst arī tādiem parametriem kā: Apvienot lielos, mazos, ciparus un īpašās rakstzīmes. piemērs: DiAFsd · 354 ASV dolāri
Pēc sistēmas instalēšanas
- Tas ir kaut kas personisks. Bet man patīk dzēst ROOT lietotāju un piešķirt visas privilēģijas citam lietotājam, tāpēc es izvairos no uzbrukumiem šim lietotājam. Būdams ļoti izplatīts.
- Ir ļoti praktiski abonēt adresātu sarakstu, kur tiek paziņotas jūsu izmantotās izplatīšanas drošības kļūdas. Papildus emuāriem, bugzilla vai citiem gadījumiem, kas var jūs brīdināt par iespējamām kļūdām.
- Kā vienmēr, ieteicams pastāvīgi atjaunināt sistēmu, kā arī tās komponentus.
- Daži cilvēki iesaka arī aizsargāt Grub vai LILO un mūsu BIOS ar paroli.
- Ir tādi rīki kā "chage", kas ļauj lietotājiem piespiest mainīt paroli katru X reizi, papildus minimālajam laikam, kas viņiem jāgaida, lai to izdarītu, un citām iespējām.
Ir daudz veidu, kā nodrošināt mūsu datoru. Viss iepriekš minētais bija pirms pakalpojuma instalēšanas. Un vienkārši miniet dažas lietas.
Ir diezgan plašas rokasgrāmatas, kuras ir vērts izlasīt. lai uzzinātu par šo milzīgo iespēju jūru. Laika gaitā jūs uzzināsiet vienu vai otru mazu lietu. Un jūs sapratīsit, ka tā vienmēr trūkst .. Vienmēr ...
Tagad nodrošināsim nedaudz vairāk PAKALPOJUMI. Mans pirmais ieteikums vienmēr ir: "Neatstājiet noklusējuma konfigurācijas". Vienmēr dodieties uz servisa konfigurācijas failu, nedaudz izlasiet par katra parametra darbību un neatstājiet to, kā tas ir instalēts. Tas vienmēr rada problēmas.
Tomēr:
SSH (/ etc / ssh / sshd_config)
SSH mēs varam darīt daudzas lietas, lai to nebūtu tik viegli pārkāpt.
Piemēram:
-Nepieļaujiet ROOT pieteikšanos (ja neesat to mainījis):
"PermitRootLogin no"
-Neļaujiet, lai paroles būtu tukšas.
"PermitEmptyPasswords no"
-Mainiet ostu, kur tā klausās.
"Port 666oListenAddress 192.168.0.1:666"
-Atļaut tikai noteiktiem lietotājiem.
"AllowUsers alex ref me@somewhere"
Me @ kaut kur ir piespiest šo lietotāju vienmēr izveidot savienojumu no tā paša IP.
-Atļaut īpašas grupas.
"AllowGroups wheel admin"
Padomi.
- Ir diezgan droši un arī gandrīz obligāti ievietot ssh lietotājus būros caur chroot.
- Varat arī atspējot failu pārsūtīšanu.
- Ierobežojiet neveiksmīgu pieteikšanās mēģinājumu skaitu.
Gandrīz svarīgi instrumenti.
Fail2ban: Šis rīks, kas atrodas repos, ļauj mums ierobežot piekļuves skaitu daudziem pakalpojumu veidiem "ftp, ssh, apache ... utt.", Aizliedzot ip, kas pārsniedz mēģinājumu ierobežojumu.
Cietinātāji: Tie ir rīki, kas ļauj mums "nostiprināt" vai drīzāk bruņot savu instalāciju ar ugunsmūriem un / vai citām instancēm. Starp viņiem "Pasargāt un Bastille Linux«
Ielaušanās detektori: Ir daudz NIDS, HIDS un citu rīku, kas ļauj mums novērst un pasargāt sevi no uzbrukumiem, izmantojot žurnālus un brīdinājumus. Starp daudziem citiem rīkiem. Eksistē "OSSEC«
Noslēgumā. Šī nebija drošības rokasgrāmata, drīzāk tās bija virkne priekšmetu, kas jāņem vērā, lai būtu diezgan drošs serveris.
Kā personisks padoms. Lasiet daudz par to, kā apskatīt un analizēt žurnālus, un kļūsim par dažiem Iptables nerds. Turklāt, jo vairāk programmatūras ir instalēta serverī, jo neaizsargātāka tā kļūst, piemēram, CMS ir labi jāpārvalda, jāatjaunina un ļoti labi jāpārbauda, kādus spraudņus mēs pievienojam.
Vēlāk es vēlos nosūtīt ziņu par to, kā nodrošināt kaut ko konkrētu. Tur, ja es varu sniegt sīkāku informāciju un veikt praksi.
Saglabāts izlasē!
Sveicieni!
Izcili PADOMI, labi, pagājušajā gadā es instalēju vairākas svarīgas nacionālās aviolīnijas drošības un uzraudzības sistēmas, un es biju pārsteigts, uzzinot, ka, neskatoties uz vairākiem desmitiem miljonu dolāru aprīkojumu (SUN Solaris, Red Hat, VM WARE, Windows Serveris, Oracle DB utt.), NADA drošība.
Es izmantoju Nagios, Nagvis, Centreon PNP4Nagios, Nessus un OSSEC, saknes parole bija publiskas zināšanas, labi, gadā viss, kas tika iztīrīts, bija vērts nopelnīt daudz naudas, bet arī lielu pieredzi šāda veida lietās. Nekad nav sāpīgi ņemt vērā visu, ko tikko izskaidrojāt.
Sveicieni.
Jauki. Tieši pie maniem favorītiem.
Lielisks raksts ... <3
Che, nākamreiz jūs varat turpināt paskaidrot, kā izmantot ossec vai citus rīkus! Ļoti labs ieraksts! Vēl Lūdzu!
Februārī par atvaļinājumu es vēlos sadarboties ar Nagios pastu un uzraudzības rīkiem.
Sveicieni.
Labs raksts, es nebiju plānojis neko citu labot datoru, lai uzrakstītu visaptverošāku kontu, bet jūs mani apsteigāt xD. Labs ieguldījums!
Es arī vēlētos redzēt ierakstu, kas veltīts ielaušanās detektoriem. Šādi es pievienoju to izlasei.