Dzisiaj dam ci kilka wskazówek, jak mieć bezpieczniejszy serwer domowy (lub trochę większy). Ale zanim mnie rozerwą, żyję.
NIC NIE JEST CAŁKOWICIE BEZPIECZNE
Z tym dobrze zdefiniowanym zastrzeżeniem kontynuuję.
Zamierzam przejść przez części i nie zamierzam bardzo dokładnie wyjaśniać każdego procesu. Wspomnę tylko o tym i wyjaśnię kilka rzeczy, abyś mógł przejść do Google z jaśniejszym wyobrażeniem o tym, czego szukasz.
Przed i podczas instalacji
- Zdecydowanie zaleca się, aby serwer był instalowany w jak najmniejszym stopniu. W ten sposób zapobiegamy uruchamianiu usług, o których nawet nie wiemy, że istnieją i do czego służą. Zapewnia to, że cała konfiguracja działa samodzielnie.
- Zaleca się, aby serwer nie był używany jako codzienna stacja robocza. (Z którym czytasz ten post. Na przykład)
- Mam nadzieję, że serwer nie ma środowiska graficznego
Podzielony na partycje.
- Zaleca się, aby foldery używane przez użytkownika, takie jak „/home/” „/tmp/” „/var/tmp/” „/opt/” były przypisane do innej partycji niż partycja systemowa.
- Krytyczne foldery, takie jak „/var/log” (gdzie przechowywane są wszystkie dzienniki systemowe), są umieszczane na osobnej partycji.
- Teraz w zależności od typu serwera, czy jest to np. serwer pocztowy. Teczka "
/var/mail
i / lub/var/spool/mail
» powinien być osobną partycją.
Hasło.
Nikomu nie jest tajemnicą, że hasła użytkowników systemu i/lub innych rodzajów usług, które z nich korzystają, muszą być bezpieczne.
Zalecenia są następujące:
- Który nie zawiera: Twoje imię, imię twojego zwierzaka, imiona krewnych, specjalne daty, miejsca itp. Podsumowując. Hasło nie może odnosić się do Ciebie ani niczego, co Cię otacza lub pochodzi z Twojego codziennego życia, ani niczego związanego z samym kontem. przykład: twitter#123.
- Hasło musi być również zgodne z parametrami takimi jak: Łączenie wielkich i małych liter, cyfr i znaków specjalnych. przykład: DiaFsd 354 $ ″
Po zainstalowaniu systemu
- To coś osobistego. Ale lubię usuwać użytkownika ROOT i przypisywać wszystkie uprawnienia innemu użytkownikowi, więc unikam ataków na tego użytkownika. Bycie bardzo powszechnym.
- Bardzo praktyczne jest zapisanie się na listę mailingową, na której ogłaszane są błędy bezpieczeństwa używanej dystrybucji. Oprócz blogów, bugzilli lub innych instancji, które mogą ostrzec Cię o możliwych błędach.
- Jak zawsze zalecana jest stała aktualizacja systemu oraz jego komponentów.
- Niektórzy zalecają również zabezpieczenie Gruba lub LILO i naszego BIOS-u hasłem.
- Istnieją narzędzia, takie jak „chage”, które pozwalają zmusić użytkowników do zmiany hasła co X raz, oprócz minimalnego czasu, na który muszą czekać, i innych opcji.
Istnieje wiele sposobów zabezpieczenia naszego komputera. Wszystkie powyższe miały miejsce przed zainstalowaniem usługi. A wystarczy wspomnieć o kilku rzeczach.
Istnieją dość obszerne instrukcje, które warto przeczytać. aby dowiedzieć się o tym ogromnym morzu możliwości. Z biegiem czasu nauczysz się jednej lub dwóch małych rzeczy. I zdasz sobie sprawę, że zawsze go brakuje... Zawsze...
Teraz upewnijmy się trochę bardziej USŁUGI. Moja pierwsza rekomendacja to zawsze: „NIE POZOSTAWIAJ USTAWIEŃ DOMYŚLNYCH”. Zawsze wchodź do pliku konfiguracyjnego usługi, poczytaj trochę o tym, co robi każdy parametr i nie zostawiaj go tak, jak jest zainstalowany. Zawsze wiąże się to z kłopotami.
Jednak:
SSH (/etc/ssh/sshd_config)
W SSH możemy zrobić wiele rzeczy, aby nie było tak łatwo go złamać.
Na przykład:
-Nie zezwalaj na logowanie ROOT (jeśli go nie zmieniłeś):
"PermitRootLogin no"
- Nie pozwól, aby hasła były puste.
"PermitEmptyPasswords no"
-Zmień port, na którym nasłuchuje.
"Port 666oListenAddress 192.168.0.1:666"
- Autoryzuj tylko niektórych użytkowników.
"AllowUsers alex ref me@somewhere"
Me@somewhere ma zmusić tego użytkownika do łączenia się zawsze z tego samego adresu IP.
- Autoryzuj określone grupy.
"AllowGroups wheel admin"
Porady.
- Jest to dość bezpieczne i prawie obowiązkowe chrootowanie użytkowników ssh.
- Możesz także wyłączyć przesyłanie plików.
- Ogranicz liczbę nieudanych prób logowania.
Prawie niezbędne narzędzia.
Faul2ban: To narzędzie, które znajduje się w repozytoriach, pozwala nam ograniczyć liczbę dostępów do wielu rodzajów usług „ftp, ssh, apache… etc” poprzez banowanie adresów IP przekraczających limit prób.
Utwardzacze: Są to narzędzia, które pozwalają nam „utwardzić”, a raczej zbudować naszą instalację za pomocą zapór ogniowych i/lub innych instancji. Pomiędzy nimi "Stwardnieć i Bastille Linux«
Czujki włamań: Istnieje wiele NIDS, HIDS i innych narzędzi, które pozwalają nam zapobiegać atakom i chronić się przed nimi za pomocą dzienników i alertów. Wśród wielu innych narzędzi. istnieje "OSSEC«
Podsumowując. To nie był podręcznik bezpieczeństwa, a raczej seria elementów, które należy wziąć pod uwagę, aby mieć umiarkowanie bezpieczny serwer.
Jako osobista rada. Czytaj dużo o przeglądaniu i analizowaniu LOGÓW, ORAZ zostańmy maniakami iptables. Ponadto im więcej Oprogramowania jest zainstalowane na serwerze, tym bardziej jest ono podatne na ataki, np. CMS musi być dobrze zarządzany, aktualizowany i uważnie przyglądający się, jakie wtyczki do niego dodajemy.
Później chcę wysłać post o tym, jak zabezpieczyć coś konkretnego. Tam, jeśli mogę podać więcej szczegółów i zrobić praktykę.
Zapisano w ulubionych!
Pozdrowienia!
Znakomite WSKAZÓWKI, no cóż, w zeszłym roku zainstalowałem w „Głównej KRAJOWEJ LINII LOTNICZEJ” kilka systemów bezpieczeństwa i monitoringu i ze zdziwieniem dowiedziałem się, że pomimo kilkudziesięciu milionów dolarów na sprzęt (SUN Solaris, Red Hat, VM WARE, Windows Server , Oracle DB itp.), bezpieczeństwo NIC.
Używałem Nagios, Nagvis, Centreon PNP4Nagios, Nessus i OSSEC, hasło roota było ogólnodostępne, no cóż, w rok wszystko zostało wyczyszczone, co było warte zarobienia dużych pieniędzy, ale poza tym dużo doświadczenia w tego rodzaju rzeczy. Nigdy nie zaszkodzi wziąć pod uwagę wszystko, co właśnie wyjaśniłeś.
Pozdrowienia.
Ładny. Prosto do moich ulubionych.
Świetny artykuł… <3
Che, następnym razem możesz kontynuować wyjaśnianie, jak używać ossec lub innych narzędzi! Bardzo dobry wpis! Więcej proszę!
W lutym na wakacje chcę współpracować z postem Nagios i narzędziami do monitoringu.
Pozdrowienia.
Dobry artykuł, planowałem po prostu naprawić komputer, żeby napisać coś bardziej obszernego, ale mnie uprzedziłeś xD. Dobry wkład!
Chciałbym również zobaczyć post poświęcony detektorom włamań. W każdym razie dodam ten do ulubionych.