Chroń swój serwer domowy przed atakami z zewnątrz.

Dzisiaj dam ci kilka wskazówek, jak mieć bezpieczniejszy serwer domowy (lub trochę większy). Ale zanim mnie rozerwą, żyję.

NIC NIE JEST CAŁKOWICIE BEZPIECZNE

Z tym dobrze zdefiniowanym zastrzeżeniem kontynuuję.

Zamierzam przejść przez części i nie zamierzam bardzo dokładnie wyjaśniać każdego procesu. Wspomnę tylko o tym i wyjaśnię kilka rzeczy, abyś mógł przejść do Google z jaśniejszym wyobrażeniem o tym, czego szukasz.

Przed i podczas instalacji

  • Zdecydowanie zaleca się, aby serwer był instalowany w jak najmniejszym stopniu. W ten sposób zapobiegamy uruchamianiu usług, o których nawet nie wiemy, że istnieją i do czego służą. Zapewnia to, że cała konfiguracja działa samodzielnie.
  • Zaleca się, aby serwer nie był używany jako codzienna stacja robocza. (Z którym czytasz ten post. Na przykład)
  • Mam nadzieję, że serwer nie ma środowiska graficznego

Podzielony na partycje.

  • Zaleca się, aby foldery używane przez użytkownika, takie jak „/home/” „/tmp/” „/var/tmp/” „/opt/” były przypisane do innej partycji niż partycja systemowa.
  • Krytyczne foldery, takie jak „/var/log” (gdzie przechowywane są wszystkie dzienniki systemowe), są umieszczane na osobnej partycji.
  • Teraz w zależności od typu serwera, czy jest to np. serwer pocztowy. Teczka "/var/mail i / lub /var/spool/mail» powinien być osobną partycją.

Hasło.

Nikomu nie jest tajemnicą, że hasła użytkowników systemu i/lub innych rodzajów usług, które z nich korzystają, muszą być bezpieczne.

Zalecenia są następujące:

  • Który nie zawiera: Twoje imię, imię twojego zwierzaka, imiona krewnych, specjalne daty, miejsca itp. Podsumowując. Hasło nie może odnosić się do Ciebie ani niczego, co Cię otacza lub pochodzi z Twojego codziennego życia, ani niczego związanego z samym kontem.  przykład: twitter#123.
  • Hasło musi być również zgodne z parametrami takimi jak: Łączenie wielkich i małych liter, cyfr i znaków specjalnych.  przykład: DiaFsd 354 $ ″

Po zainstalowaniu systemu

  • To coś osobistego. Ale lubię usuwać użytkownika ROOT i przypisywać wszystkie uprawnienia innemu użytkownikowi, więc unikam ataków na tego użytkownika. Bycie bardzo powszechnym.
Plik /etc/sudoers musi być edytowany. Tam dodajemy użytkownika, którym chcemy być ROOT, a następnie usuwamy naszego starego Super Usera (ROOT)
  • Bardzo praktyczne jest zapisanie się na listę mailingową, na której ogłaszane są błędy bezpieczeństwa używanej dystrybucji. Oprócz blogów, bugzilli lub innych instancji, które mogą ostrzec Cię o możliwych błędach.
  • Jak zawsze zalecana jest stała aktualizacja systemu oraz jego komponentów.
  • Niektórzy zalecają również zabezpieczenie Gruba lub LILO i naszego BIOS-u hasłem.
  • Istnieją narzędzia, takie jak „chage”, które pozwalają zmusić użytkowników do zmiany hasła co X raz, oprócz minimalnego czasu, na który muszą czekać, i innych opcji.

Istnieje wiele sposobów zabezpieczenia naszego komputera. Wszystkie powyższe miały miejsce przed zainstalowaniem usługi. A wystarczy wspomnieć o kilku rzeczach.

Istnieją dość obszerne instrukcje, które warto przeczytać. aby dowiedzieć się o tym ogromnym morzu możliwości. Z biegiem czasu nauczysz się jednej lub dwóch małych rzeczy. I zdasz sobie sprawę, że zawsze go brakuje... Zawsze...

Teraz upewnijmy się trochę bardziej USŁUGI. Moja pierwsza rekomendacja to zawsze: „NIE POZOSTAWIAJ USTAWIEŃ DOMYŚLNYCH”. Zawsze wchodź do pliku konfiguracyjnego usługi, poczytaj trochę o tym, co robi każdy parametr i nie zostawiaj go tak, jak jest zainstalowany. Zawsze wiąże się to z kłopotami.

Jednak:

SSH (/etc/ssh/sshd_config)

W SSH możemy zrobić wiele rzeczy, aby nie było tak łatwo go złamać.

Na przykład:

-Nie zezwalaj na logowanie ROOT (jeśli go nie zmieniłeś):

"PermitRootLogin no"

- Nie pozwól, aby hasła były puste.

"PermitEmptyPasswords no"

-Zmień port, na którym nasłuchuje.

"Port 666oListenAddress 192.168.0.1:666"

- Autoryzuj tylko niektórych użytkowników.

"AllowUsers alex ref me@somewhere"   Me@somewhere ma zmusić tego użytkownika do łączenia się zawsze z tego samego adresu IP.

- Autoryzuj określone grupy.

"AllowGroups wheel admin"

Porady.

  • Jest to dość bezpieczne i prawie obowiązkowe chrootowanie użytkowników ssh.
  • Możesz także wyłączyć przesyłanie plików.
  • Ogranicz liczbę nieudanych prób logowania.

Prawie niezbędne narzędzia.

Faul2ban: To narzędzie, które znajduje się w repozytoriach, pozwala nam ograniczyć liczbę dostępów do wielu rodzajów usług „ftp, ssh, apache… etc” poprzez banowanie adresów IP przekraczających limit prób.

Utwardzacze: Są to narzędzia, które pozwalają nam „utwardzić”, a raczej zbudować naszą instalację za pomocą zapór ogniowych i/lub innych instancji. Pomiędzy nimi "Stwardnieć i Bastille Linux«

Czujki włamań: Istnieje wiele NIDS, HIDS i innych narzędzi, które pozwalają nam zapobiegać atakom i chronić się przed nimi za pomocą dzienników i alertów. Wśród wielu innych narzędzi. istnieje "OSSEC«

Podsumowując. To nie był podręcznik bezpieczeństwa, a raczej seria elementów, które należy wziąć pod uwagę, aby mieć umiarkowanie bezpieczny serwer.

Jako osobista rada. Czytaj dużo o przeglądaniu i analizowaniu LOGÓW, ORAZ zostańmy maniakami iptables. Ponadto im więcej Oprogramowania jest zainstalowane na serwerze, tym bardziej jest ono podatne na ataki, np. CMS musi być dobrze zarządzany, aktualizowany i uważnie przyglądający się, jakie wtyczki do niego dodajemy.

Później chcę wysłać post o tym, jak zabezpieczyć coś konkretnego. Tam, jeśli mogę podać więcej szczegółów i zrobić praktykę.


8 komentarzy, zostaw swoje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   elynx powiedział

    Zapisano w ulubionych!

    Pozdrowienia!

  2.   Ivan Barra powiedział

    Znakomite WSKAZÓWKI, no cóż, w zeszłym roku zainstalowałem w „Głównej KRAJOWEJ LINII LOTNICZEJ” kilka systemów bezpieczeństwa i monitoringu i ze zdziwieniem dowiedziałem się, że pomimo kilkudziesięciu milionów dolarów na sprzęt (SUN Solaris, Red Hat, VM WARE, Windows Server , Oracle DB itp.), bezpieczeństwo NIC.

    Używałem Nagios, Nagvis, Centreon PNP4Nagios, Nessus i OSSEC, hasło roota było ogólnodostępne, no cóż, w rok wszystko zostało wyczyszczone, co było warte zarobienia dużych pieniędzy, ale poza tym dużo doświadczenia w tego rodzaju rzeczy. Nigdy nie zaszkodzi wziąć pod uwagę wszystko, co właśnie wyjaśniłeś.

    Pozdrowienia.

  3.   Blaire pascal powiedział

    Ładny. Prosto do moich ulubionych.

  4.   guzman6001 powiedział

    Świetny artykuł… <3

  5.   Juan Ignacio powiedział

    Che, następnym razem możesz kontynuować wyjaśnianie, jak używać ossec lub innych narzędzi! Bardzo dobry wpis! Więcej proszę!

    1.    Ivan Barra powiedział

      W lutym na wakacje chcę współpracować z postem Nagios i narzędziami do monitoringu.

      Pozdrowienia.

  6.   koratsuki powiedział

    Dobry artykuł, planowałem po prostu naprawić komputer, żeby napisać coś bardziej obszernego, ale mnie uprzedziłeś xD. Dobry wkład!

  7.   Artur Molina powiedział

    Chciałbym również zobaczyć post poświęcony detektorom włamań. W każdym razie dodam ten do ulubionych.