Hari ini, saya akan memberi anda beberapa petua mengenai cara memiliki pelayan rumah yang lebih selamat (atau sedikit lebih besar). Tetapi sebelum mereka menghancurkan saya hidup-hidup.
TIDAK ADA SELAMAT
Dengan peringatan yang jelas ini, saya teruskan.
Saya akan melalui beberapa bahagian dan saya tidak akan menerangkan setiap proses dengan sangat teliti. Saya hanya akan menyebutnya dan menjelaskan satu perkara atau perkara lain, sehingga mereka dapat pergi ke Google dengan idea yang lebih jelas tentang apa yang mereka cari.
Sebelum dan semasa pemasangan
- Adalah sangat disarankan agar pelayan dipasang sekecil mungkin. Dengan cara ini kita menghalang perkhidmatan daripada berjalan yang kita sendiri tidak tahu ada atau apa tujuannya. Ini memastikan bahawa semua penyediaan berjalan sendiri.
- Sebaiknya pelayan tidak digunakan sebagai stesen kerja sehari-hari. (Dengan itu anda membaca catatan ini. Contohnya)
- Saya harap pelayan tidak mempunyai persekitaran grafik
Pembahagian.
- Sebaiknya folder yang digunakan oleh pengguna seperti "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /" ditetapkan ke partisi yang berbeza daripada sistem.
- Folder kritikal seperti "/ var / log" (Di mana semua log sistem disimpan) diletakkan pada partisi yang berbeza.
- Sekarang, bergantung pada jenis pelayan, jika misalnya ia adalah pelayan mel. Folder "
/var/mail
dan / atau/var/spool/mail
»Sepatutnya partition yang berasingan.
Kata Laluan.
Bukan rahsia bagi siapa pun bahawa kata laluan pengguna sistem dan / atau jenis perkhidmatan lain yang menggunakannya mesti selamat.
Cadangannya adalah:
- Itu tidak mengandungi: Nama anda, Nama haiwan kesayangan anda, Nama saudara-mara, Tarikh istimewa, Tempat, dll. Kesimpulannya. Kata laluan tidak boleh mempunyai apa-apa yang berkaitan dengan anda, atau apa-apa yang mengelilingi anda atau kehidupan seharian anda, dan juga tidak ada yang berkaitan dengan akaun itu sendiri. Contoh: twitter # 123.
- Kata laluan juga mesti mematuhi parameter seperti: Gabungkan huruf besar, huruf kecil, nombor dan watak khas. Contoh: DiAFsd · $ 354 ″
Selepas memasang sistem
- Ia sesuatu yang peribadi. Tetapi saya ingin menghapus pengguna ROOT dan memberikan semua keistimewaan kepada pengguna lain, jadi saya mengelakkan serangan terhadap pengguna tersebut. Menjadi sangat biasa.
- Adalah sangat praktikal untuk melanggan senarai mel di mana pepijat keselamatan pengedaran yang anda gunakan diumumkan. Sebagai tambahan kepada blog, bugzilla atau contoh lain yang dapat memberi amaran kepada anda mengenai kemungkinan Bug.
- Seperti biasa, disyorkan untuk mengemas kini sistem dan komponennya secara berterusan.
- Sebilangan orang mengesyorkan juga melindungi Grub atau LILO dan BIOS kami dengan kata laluan.
- Terdapat alat seperti "chage" yang memungkinkan pengguna dipaksa untuk menukar kata laluan mereka setiap kali X, di samping masa minimum yang harus mereka tunggu untuk melakukannya dan pilihan lain.
Terdapat banyak cara untuk melindungi PC kita. Semua perkara di atas adalah sebelum memasang perkhidmatan. Dan sebutkan beberapa perkara sahaja.
Terdapat banyak manual yang perlu dibaca. untuk mengetahui tentang kemungkinan besar lautan ini .. Lama-kelamaan anda belajar satu perkara atau perkara lain. Dan anda akan sedar bahawa ia selalu hilang .. Sentiasa ...
Sekarang mari kita pastikan lagi PERKHIDMATAN. Cadangan pertama saya selalu: "JANGAN TINGGALKAN KONFIGURASI DEFAULT". Sentiasa pergi ke fail konfigurasi perkhidmatan, baca sedikit tentang apa yang dilakukan oleh setiap parameter dan jangan tinggalkannya semasa dipasang. Ia selalu membawa masalah dengannya.
Walau bagaimanapun:
SSH (/ etc / ssh / sshd_config)
Dalam SSH kita boleh melakukan banyak perkara sehingga tidak mudah dilanggar.
Sebagai contoh:
-Jangan biarkan log masuk ROOT (Sekiranya anda tidak mengubahnya):
"PermitRootLogin no"
-Jangan biarkan kata laluan kosong.
"PermitEmptyPasswords no"
-Tukar port di mana ia mendengar.
"Port 666oListenAddress 192.168.0.1:666"
-Mengizinkan pengguna tertentu sahaja.
"AllowUsers alex ref me@somewhere"
Saya @ di suatu tempat adalah untuk memaksa pengguna itu untuk sentiasa berhubung dari IP yang sama.
-Mengizinkan kumpulan tertentu.
"AllowGroups wheel admin"
Petua.
- Ia cukup selamat dan juga hampir mustahak untuk membuat pengguna ssh melalui chroot.
- Anda juga boleh melumpuhkan pemindahan fail.
- Hadkan bilangan percubaan log masuk yang gagal.
Alat yang hampir mustahak.
Fail2ban: Alat ini yang ada di repos, membolehkan kita membatasi jumlah akses ke banyak jenis perkhidmatan "ftp, ssh, apache ... dll", melarang ip yang melebihi had percubaan.
Pengawal: Mereka adalah alat yang membolehkan kita "mengeraskan" atau lebih tepatnya mempersiapkan pemasangan kita dengan Firewall dan / atau kejadian lain. Antaranya "Mengeraskan dan Bastille Linux«
Pengesan penceroboh: Terdapat banyak NIDS, HIDS dan alat lain yang membolehkan kita mencegah dan melindungi diri kita dari serangan, melalui log dan amaran. Antara banyak alat lain. Ada "OSSEC«
Kesimpulannya. Ini bukan manual keselamatan, melainkan serangkaian item yang perlu dipertimbangkan untuk mempunyai pelayan yang cukup selamat.
Sebagai nasihat peribadi. Baca banyak mengenai cara melihat dan menganalisis LOG, dan mari menjadi beberapa kutu buku Iptables. Di samping itu, semakin banyak Perisian yang dipasang di pelayan, semakin rentan, contohnya CMS mesti diuruskan dengan baik, mengemas kini dan melihat dengan baik jenis plugin yang kita tambahkan.
Nanti saya nak hantar posting bagaimana memastikan sesuatu yang spesifik. Di sana jika saya dapat memberikan lebih banyak maklumat dan melakukan latihan.
Disimpan dalam kegemaran!
Salam!
TIPS yang sangat baik, tahun lalu, saya memasang sistem keselamatan dan pemantauan "AIRLINE NASIONAL PENTING" beberapa dan saya terkejut mengetahui bahawa walaupun terdapat peralatan berpuluh-puluh juta dolar (SUN Solaris, Red Hat, VM WARE , Windows Server, Oracle DB, dll), keselamatan TIDAK ADA.
Saya menggunakan Nagios, Nagvis, Centreon PNP4Nagios, Nessus dan OSSEC, kata laluan root adalah pengetahuan umum, baik, dalam setahun semua itu dibersihkan, yang bernilai memperoleh banyak wang, tetapi juga banyak pengalaman dalam jenis perkara ini. Tidak ada salahnya untuk mempertimbangkan semua yang baru saja anda jelaskan.
Greetings.
Bagus. Terus ke kegemaran saya.
Artikel hebat ... <3
Che, lain kali anda boleh terus menerangkan cara menggunakan ossec atau alat lain! Posisi yang sangat baik! Lagi, tolong!
Pada bulan Februari, untuk percutian saya, saya ingin bekerjasama dengan alat Nagios dan alat pemantauan.
Greetings.
Artikel yang bagus, saya telah merancang hanya untuk memperbaiki PC saya untuk menulis satu tilin yang lebih komprehensif, tetapi anda telah mendahului saya xD. Sumbangan yang baik!
Saya juga ingin melihat siaran yang dikhaskan untuk pengesan pencerobohan. Seperti ini saya menambahkannya ke kegemaran.