Aizsargājiet mājas serveri no ārējiem uzbrukumiem.

Šodien es jums došu dažus padomus, kā izveidot drošāku mājas serveri (vai mazliet lielāku). Bet pirms viņi mani saplēš dzīvu.

NEKAS nav pilnīgi drošs

Ar šo precīzi definēto atrunu es turpinu.

Es eju pa daļām, un es neskaidrošu katru procesu ļoti uzmanīgi. Es to tikai pieminēšu un precizēšu vienu vai otru sīkumu, lai viņi varētu iet uz Google ar skaidrāku priekšstatu par to, ko viņi meklē.

Pirms instalēšanas un tās laikā

  • Ļoti ieteicams serveri instalēt pēc iespējas "minimālāk". Tādā veidā mēs neļaujam darboties pakalpojumiem, par kuriem mēs pat nezinām, vai tie ir paredzēti vai kam tie domāti. Tas nodrošina, ka visa iestatīšana notiek patstāvīgi.
  • Serveri ieteicams neizmantot kā ikdienas darbstaciju. (Ar kuru jūs lasāt šo ziņu. Piemēram)
  • Cerams, ka serverim nav grafiskas vides

Sadalīšana.

  • Lietotāja izmantotās mapes, piemēram, "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /", ieteicams piešķirt citam nodalījumam nekā sistēmai.
  • Kritiskās mapes, piemēram, "/ var / log" (kur glabājas visi sistēmas žurnāli), tiek ievietotas citā nodalījumā.
  • Tagad, atkarībā no servera veida, ja, piemēram, tas ir pasta serveris. Mape "/var/mail un / vai /var/spool/mail»Jābūt atsevišķam nodalījumam.

Parole.

Nevienam nav noslēpums, ka sistēmas lietotāju un / vai cita veida pakalpojumu, kas tos izmanto, parolei jābūt drošai.

Ieteikumi ir:

  • Tas nesatur: Jūsu vārds, mājdzīvnieka vārds, radinieku vārds, īpašie datumi, vietas utt. Noslēgumā. Parolē nedrīkst būt nekas, kas saistīts ar tevi, vai nekas, kas ieskauj tevi vai tavu ikdienas dzīvi, kā arī nedrīkst būt saistīts ar pašu kontu.  piemērs: twitter # 123. lpp.
  • Parolei jāatbilst arī tādiem parametriem kā: Apvienot lielos, mazos, ciparus un īpašās rakstzīmes.  piemērs: DiAFsd · 354 ASV dolāri

Pēc sistēmas instalēšanas

  • Tas ir kaut kas personisks. Bet man patīk dzēst ROOT lietotāju un piešķirt visas privilēģijas citam lietotājam, tāpēc es izvairos no uzbrukumiem šim lietotājam. Būdams ļoti izplatīts.
/ Etc / sudoers fails ir jārediģē. Tur mēs pievienojam lietotāju, ka mēs vēlamies būt sakne, un pēc tam mēs izdzēšam savu veco super lietotāju (ROOT)
  • Ir ļoti praktiski abonēt adresātu sarakstu, kur tiek paziņotas jūsu izmantotās izplatīšanas drošības kļūdas. Papildus emuāriem, bugzilla vai citiem gadījumiem, kas var jūs brīdināt par iespējamām kļūdām.
  • Kā vienmēr, ieteicams pastāvīgi atjaunināt sistēmu, kā arī tās komponentus.
  • Daži cilvēki iesaka arī aizsargāt Grub vai LILO un mūsu BIOS ar paroli.
  • Ir tādi rīki kā "chage", kas ļauj lietotājiem piespiest mainīt paroli katru X reizi, papildus minimālajam laikam, kas viņiem jāgaida, lai to izdarītu, un citām iespējām.

Ir daudz veidu, kā nodrošināt mūsu datoru. Viss iepriekš minētais bija pirms pakalpojuma instalēšanas. Un vienkārši miniet dažas lietas.

Ir diezgan plašas rokasgrāmatas, kuras ir vērts izlasīt. lai uzzinātu par šo milzīgo iespēju jūru. Laika gaitā jūs uzzināsiet vienu vai otru mazu lietu. Un jūs sapratīsit, ka tā vienmēr trūkst .. Vienmēr ...

Tagad nodrošināsim nedaudz vairāk PAKALPOJUMI. Mans pirmais ieteikums vienmēr ir: "Neatstājiet noklusējuma konfigurācijas". Vienmēr dodieties uz servisa konfigurācijas failu, nedaudz izlasiet par katra parametra darbību un neatstājiet to, kā tas ir instalēts. Tas vienmēr rada problēmas.

Tomēr:

SSH (/ etc / ssh / sshd_config)

SSH mēs varam darīt daudzas lietas, lai to nebūtu tik viegli pārkāpt.

Piemēram:

-Nepieļaujiet ROOT pieteikšanos (ja neesat to mainījis):

"PermitRootLogin no"

-Neļaujiet, lai paroles būtu tukšas.

"PermitEmptyPasswords no"

-Mainiet ostu, kur tā klausās.

"Port 666oListenAddress 192.168.0.1:666"

-Atļaut tikai noteiktiem lietotājiem.

"AllowUsers alex ref me@somewhere"   Me @ kaut kur ir piespiest šo lietotāju vienmēr izveidot savienojumu no tā paša IP.

-Atļaut īpašas grupas.

"AllowGroups wheel admin"

Padomi.

  • Ir diezgan droši un arī gandrīz obligāti ievietot ssh lietotājus būros caur chroot.
  • Varat arī atspējot failu pārsūtīšanu.
  • Ierobežojiet neveiksmīgu pieteikšanās mēģinājumu skaitu.

Gandrīz svarīgi instrumenti.

Fail2ban: Šis rīks, kas atrodas repos, ļauj mums ierobežot piekļuves skaitu daudziem pakalpojumu veidiem "ftp, ssh, apache ... utt.", Aizliedzot ip, kas pārsniedz mēģinājumu ierobežojumu.

Cietinātāji: Tie ir rīki, kas ļauj mums "nostiprināt" vai drīzāk bruņot savu instalāciju ar ugunsmūriem un / vai citām instancēm. Starp viņiem "Pasargāt un Bastille Linux«

Ielaušanās detektori: Ir daudz NIDS, HIDS un citu rīku, kas ļauj mums novērst un pasargāt sevi no uzbrukumiem, izmantojot žurnālus un brīdinājumus. Starp daudziem citiem rīkiem. Eksistē "OSSEC«

Noslēgumā. Šī nebija drošības rokasgrāmata, drīzāk tās bija virkne priekšmetu, kas jāņem vērā, lai būtu diezgan drošs serveris.

Kā personisks padoms. Lasiet daudz par to, kā apskatīt un analizēt žurnālus, un kļūsim par dažiem Iptables nerds. Turklāt, jo vairāk programmatūras ir instalēta serverī, jo neaizsargātāka tā kļūst, piemēram, CMS ir labi jāpārvalda, jāatjaunina un ļoti labi jāpārbauda, ​​kādus spraudņus mēs pievienojam.

Vēlāk es vēlos nosūtīt ziņu par to, kā nodrošināt kaut ko konkrētu. Tur, ja es varu sniegt sīkāku informāciju un veikt praksi.


8 komentāri, atstājiet savus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   Elīna teica

    Saglabāts izlasē!

    Sveicieni!

  2.   Ivans Barra teica

    Izcili PADOMI, labi, pagājušajā gadā es instalēju vairākas svarīgas nacionālās aviolīnijas drošības un uzraudzības sistēmas, un es biju pārsteigts, uzzinot, ka, neskatoties uz vairākiem desmitiem miljonu dolāru aprīkojumu (SUN Solaris, Red Hat, VM WARE, Windows Serveris, Oracle DB utt.), NADA drošība.

    Es izmantoju Nagios, Nagvis, Centreon PNP4Nagios, Nessus un OSSEC, saknes parole bija publiskas zināšanas, labi, gadā viss, kas tika iztīrīts, bija vērts nopelnīt daudz naudas, bet arī lielu pieredzi šāda veida lietās. Nekad nav sāpīgi ņemt vērā visu, ko tikko izskaidrojāt.

    Sveicieni.

  3.   Blērs paskals teica

    Jauki. Tieši pie maniem favorītiem.

  4.   guzman6001 teica

    Lielisks raksts ... <3

  5.   Juan Ignacio teica

    Che, nākamreiz jūs varat turpināt paskaidrot, kā izmantot ossec vai citus rīkus! Ļoti labs ieraksts! Vēl Lūdzu!

    1.    Ivans Barra teica

      Februārī par atvaļinājumu es vēlos sadarboties ar Nagios pastu un uzraudzības rīkiem.

      Sveicieni.

  6.   koratsuki teica

    Labs raksts, es nebiju plānojis neko citu labot datoru, lai uzrakstītu visaptverošāku kontu, bet jūs mani apsteigāt xD. Labs ieguldījums!

  7.   Arturo Molina teica

    Es arī vēlētos redzēt ierakstu, kas veltīts ielaušanās detektoriem. Šādi es pievienoju to izlasei.