Bescherm uw thuisserver tegen aanvallen van buitenaf.

Vandaag zal ik je enkele tips geven over hoe je een veiligere thuisserver (of een beetje groter) kunt hebben. Maar voordat ze me levend uit elkaar scheuren.

NIETS IS VOLLEDIG VEILIG

Met dit welomschreven voorbehoud ga ik verder.

Ik ga stap voor stap en ik ga niet elk proces heel zorgvuldig uitleggen. Ik zal het alleen vermelden en het een of ander verduidelijken, zodat ze naar Google kunnen gaan met een duidelijker idee van wat ze zoeken.

Voor en tijdens installatie

• Het wordt ten zeerste aanbevolen om de server zo "minimaal" mogelijk te installeren. Op deze manier voorkomen we dat services worden uitgevoerd waarvan we niet eens weten dat ze er zijn, of waar ze voor dienen. Dit zorgt ervoor dat alle instellingen zelfstandig worden uitgevoerd.
• Het wordt aanbevolen de server niet als een alledaags werkstation te gebruiken. (Waarmee je dit bericht leest. Bijvoorbeeld)
• Ik hoop dat de server geen grafische omgeving heeft

Verdeling.

• Het wordt aanbevolen dat de mappen die door de gebruiker worden gebruikt, zoals "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /", worden toegewezen aan een andere partitie dan de systeempartitie.
• Kritieke mappen zoals "/ var / log" (waar alle systeemlogboeken zijn opgeslagen) worden op een andere partitie geplaatst.
• Nu, afhankelijk van het type server, of het bijvoorbeeld een mailserver is. Map "/var/mail en / of /var/spool/mail»Moet een aparte partitie zijn.

Wachtwoord.

Het is voor niemand een geheim dat het wachtwoord van de systeemgebruikers en / of andere soorten services die er gebruik van maken, veilig moet zijn.

De aanbevelingen zijn:

• Dat bevat niet: Uw naam, naam van uw huisdier, naam van familieleden, speciale datums, plaatsen, enz. Ten slotte. Het wachtwoord mag niets met u te maken hebben, of iets dat u of uw dagelijkse leven omringt, en het mag ook niets met het account zelf te maken hebben.  voorbeeld: twitter # 123.
• Het wachtwoord moet ook voldoen aan parameters zoals: Combineer hoofdletters, kleine letters, cijfers en speciale tekens.  voorbeeld: DiAFsd · $ 354 ″

Na installatie van het systeem

• Het is iets persoonlijks. Maar ik vind het leuk om de ROOT-gebruiker te verwijderen en alle rechten toe te wijzen aan een andere gebruiker, dus ik vermijd aanvallen op die gebruiker. Heel gewoon zijn.

• Het is erg praktisch om u te abonneren op een mailinglijst waar beveiligingsfouten van de door u gebruikte distributie worden aangekondigd. Naast blogs, bugzilla of andere instanties die u kunnen waarschuwen voor mogelijke bugs.
• Zoals altijd wordt een constante update van het systeem en de componenten aanbevolen.
• Sommige mensen raden aan om ook Grub of LILO en ons BIOS met een wachtwoord te beveiligen.
• Er zijn tools zoals "chage" waarmee gebruikers gedwongen kunnen worden hun wachtwoord elke X keer te wijzigen, naast de minimale wachttijd en andere opties.

Er zijn veel manieren om onze pc te beveiligen. Al het bovenstaande was voordat een service werd geïnstalleerd. En noem maar een paar dingen.

Er zijn vrij uitgebreide handleidingen die het lezen waard zijn. om meer te weten te komen over deze immense zee van mogelijkheden. Na verloop van tijd leer je het een of ander. En je zult beseffen dat het altijd ontbreekt .. Altijd ...

Laten we nu een beetje meer zorgen DIENSTEN. Mijn eerste aanbeveling is altijd: "VERLAAT DE STANDAARDCONFIGURATIES NIET". Ga altijd naar het serviceconfiguratiebestand, lees een beetje over wat elke parameter doet en laat het niet zoals het is geïnstalleerd. Het brengt altijd problemen met zich mee.

Echter:

SSH (/ etc / ssh / sshd_config)

In SSH kunnen we veel dingen doen zodat het niet zo gemakkelijk is om te overtreden.

Bijvoorbeeld:

-Sta de ROOT-login niet toe (als u deze niet hebt gewijzigd):

"PermitRootLogin no"

-Laat wachtwoorden niet leeg zijn.

"PermitEmptyPasswords no"

-Verander de poort waar het luistert.

"Port 666oListenAddress 192.168.0.1:666"

-Alleen bepaalde gebruikers autoriseren.

"AllowUsers alex ref me@somewhere"   De ik @ ergens is om die gebruiker te dwingen altijd verbinding te maken vanaf hetzelfde IP-adres.

-Autoriseren van specifieke groepen.

"AllowGroups wheel admin"

Tips.

• Het is vrij veilig en ook bijna verplicht om ssh-gebruikers te kooien via chroot.
• U kunt ook de bestandsoverdracht uitschakelen.
• Beperk het aantal mislukte inlogpogingen.

Bijna essentiële tools.

Fail2ban: Deze tool die zich in repos bevindt, stelt ons in staat om het aantal toegangen tot vele soorten services "ftp, ssh, apache ... etc" te beperken, door het ip te bannen dat de limiet van pogingen overschrijdt.

Verharders: Het zijn tools waarmee we onze installatie kunnen "harden" of liever bewapenen met firewalls en / of andere instanties. Onder hen "verharden en Bastille Linux«

Inbraakdetectoren: Er zijn veel NIDS, HIDS en andere tools waarmee we onszelf kunnen voorkomen en beschermen tegen aanvallen door middel van logs en waarschuwingen. Naast vele andere tools. Bestaat "OSSEC«

Ten slotte. Dit was geen beveiligingshandleiding, het waren eerder een reeks items waarmee u rekening moest houden om een ​​redelijk veilige server te hebben.

Als persoonlijk advies. Lees veel over het bekijken en analyseren van LOGS, en laten we een paar Iptables-nerds worden. Bovendien, hoe meer Software er op de server wordt geïnstalleerd, hoe kwetsbaarder het wordt, zo moet een CMS bijvoorbeeld goed beheerd worden, het updaten en goed kijken wat voor soort plugins we toevoegen.

Later wil ik een bericht sturen over hoe ik iets specifieks kan verzekeren. Daar als ik meer details kan geven en de oefening kan doen.