Proteja seu servidor doméstico de ataques externos.

@Jlcmux

Minutos 5

Hoje darei algumas dicas de como ter um servidor doméstico mais seguro (ou um pouco maior). Mas antes que eles me separem vivo.

NADA É TOTALMENTE SEGURO

Com esta reserva bem definida, continuo.

Vou passar por partes e não vou explicar cada processo com muito cuidado. Vou apenas mencionar e esclarecer uma coisa ou outra, para que eles possam ir ao Google com uma ideia mais clara do que procuram.

Antes e durante a instalação

  • É altamente recomendável que o servidor seja instalado o mais "mínimo" possível. Desta forma, evitamos a execução de serviços que nem sabemos que existem ou para que servem. Isso garante que toda a configuração seja executada por conta própria.
  • Recomenda-se que o servidor não seja usado como uma estação de trabalho diária. (Com o qual você está lendo este post. Por exemplo)
  • Espero que o servidor não tenha um ambiente gráfico

Particionamento.

  • Recomenda-se que as pastas usadas pelo usuário, como "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /", sejam atribuídas a uma partição diferente da do sistema.
  • Pastas críticas como "/ var / log" (onde todos os logs do sistema são armazenados) são colocadas em uma partição diferente.
  • Agora, dependendo do tipo de servidor, se por exemplo for um servidor de correio. A pasta "/var/mail e / ou /var/spool/mail»Deve ser uma partição separada.

A senha.

Não é segredo para ninguém que a senha dos usuários do sistema e / ou outros tipos de serviços que os utilizam devem ser seguros.

As recomendações são:

  • Que não contém: Seu nome, nome do seu animal de estimação, nome de parentes, datas especiais, lugares, etc. Em conclusão. A senha não deve ter nada relacionado a você, ou algo que o cerca ou sua vida diária, nem deve ter nada relacionado à própria conta.  Exemplo: twitter # 123.
  • A senha também deve obedecer a parâmetros como: Combinar maiúsculas, minúsculas, números e caracteres especiais.  Exemplo: DiAFsd · $ 354 ″

Depois de instalar o sistema

  • É algo pessoal. Mas gosto de excluir o usuário ROOT e atribuir todos os privilégios a outro usuário, para evitar ataques a esse usuário. Sendo muito comum.
O arquivo / etc / sudoers deve ser editado. Lá, adicionamos o usuário que queremos ser ROOT e, em seguida, excluímos nosso antigo Superusuário (ROOT)
  • É muito prático se inscrever em uma lista de discussão onde anunciam bugs de segurança da distribuição que você usa. Além de blogs, bugzilla ou outras instâncias que podem alertá-lo sobre possíveis Bugs.
  • Como sempre, uma atualização constante do sistema, bem como de seus componentes é recomendada.
  • Algumas pessoas recomendam também proteger o Grub ou LILO e nosso BIOS com uma senha.
  • Existem ferramentas como o “chage” que permite ao usuário ser forçado a mudar sua senha a cada X vezes, além do tempo mínimo de espera para fazê-lo e outras opções.

Existem muitas maneiras de proteger nosso PC. Todos os itens acima foram antes de instalar um serviço. E apenas mencione algumas coisas.

Existem manuais bastante extensos que valem a pena ler. para aprender sobre este imenso mar de possibilidades .. Com o tempo você aprende uma ou outra coisinha. E você vai perceber que está sempre faltando .. Sempre ...

Agora vamos garantir um pouco mais SERVIÇOS. Minha primeira recomendação é sempre: «NÃO DEIXE AS CONFIGURAÇÕES PADRÃO». Vá sempre ao arquivo de configuração do serviço, leia um pouco sobre o que cada parâmetro faz e não o deixe como está instalado. Isso sempre traz problemas.

Contudo:

SSH (/ etc / ssh / sshd_config)

No SSH podemos fazer muitas coisas para que não seja tão fácil violar.

Por exemplo:

-Não permita o login ROOT (caso você não o tenha alterado):

"PermitRootLogin no"

-Não deixe as senhas em branco.

"PermitEmptyPasswords no"

-Altere a porta de escuta.

"Port 666oListenAddress 192.168.0.1:666"

-Autorizar apenas alguns usuários.

"AllowUsers alex ref me@somewhere"   O me @ em algum lugar é para forçar esse usuário a sempre se conectar a partir do mesmo IP.

-Autorizar grupos específicos.

"AllowGroups wheel admin"

Dicas.

  • É bastante seguro e também quase obrigatório prender usuários ssh através do chroot.
  • Você também pode desativar a transferência de arquivos.
  • Limite o número de tentativas de login com falha.

Ferramentas quase essenciais.

Falha2ban: Esta ferramenta que se encontra em repos, permite-nos limitar o número de acessos a vários tipos de serviços "ftp, ssh, apache ... etc", banindo os IPs que ultrapassem o limite de tentativas.

Endurecedores: São ferramentas que nos permitem "fortalecer", ou melhor, armar nossa instalação com Firewalls e / ou outras instâncias. Entre eles "Endurecer e Bastille Linux«

Detectores de intrusão: Existem muitos NIDS, HIDS e outras ferramentas que nos permitem prevenir e nos proteger de ataques, através de logs e alertas. Entre muitas outras ferramentas. Existe "OSSEC«

Para terminar. Este não era um manual de segurança, mas sim uma série de itens a serem levados em consideração para ter um servidor razoavelmente seguro.

Como conselho pessoal. Leia muito sobre como visualizar e analisar LOGS, e vamos nos tornar alguns nerds Iptables. Além disso, quanto mais Software for instalado no servidor, mais vulnerável ele se torna, por exemplo, um CMS deve ser bem gerenciado, atualizando-o e procurando muito bem os tipos de plug-ins que adicionamos.

Mais tarde, quero enviar um post sobre como garantir algo específico. Lá se eu puder dar mais detalhes e fazer a prática.


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.

  1.   Elinx dito
    atrás Anos 11

    Salvo nos favoritos!

    Saudações!

    Responder a eLynx
  2.   Ivan Barra dito
    atrás Anos 11

    Excelentes DICAS, bom, no ano passado, instalei em uma "Important NATIONAL AIRLINE" vários sistemas de segurança e monitoramento e fiquei surpreso ao saber que apesar das várias dezenas de milhões de dólares em equipamentos (SUN Solaris, Red Hat, VM WARE, Windows Servidor, banco de dados Oracle, etc), segurança NADA.

    Usei Nagios, Nagvis, Centreon PNP4Nagios, Nessus e OSSEC, a senha de root era de conhecimento público, enfim, em um ano tudo isso foi limpo, valeu a pena ganhar muito dinheiro, mas também muita experiência neste tipo de coisa. Nunca é demais levar em consideração tudo o que você acabou de explicar.

    Saudações.

    Responder a Ivan Barra
  3.   Blaire pascal dito
    atrás Anos 11

    Agradável. Direto para meus favoritos.

    Resposta a Blaire Pascal
  4.   guzman6001 dito
    atrás Anos 11

    Excelente artigo ... <3

    Responder a guzman6001
  5.   Juan Ignacio dito
    atrás Anos 11

    Che, da próxima vez você pode continuar explicando como usar o ossec ou outras ferramentas! Muito bom o post! Mais por favor!

    Resposta de Juan Ignacio
    1.    Ivan Barra dito
      atrás Anos 11

      Em fevereiro, para minhas férias, quero cooperar com uma postagem do Nagios e ferramentas de monitoramento.

      Saudações.

      Responder a Ivan Barra
  6.   koratsuki dito
    atrás Anos 11

    Bom artigo, eu não tinha planejado nada mais para consertar meu PC para escrever um tilin mais abrangente, mas você me venceu xD. Boa contribuição!

    Resposta a Koratsuki
  7.   Arthur Molina dito
    atrás Anos 11

    Também gostaria de ver um post dedicado a detectores de intrusão. Assim adiciono aos favoritos.

    Resposta a Arturo Molina