Astăzi, vă voi oferi câteva sfaturi despre cum să aveți un server acasă mai sigur (sau puțin mai mare). Dar înainte să mă rupă de viu.
NIMIC NU ESTE TOTAL SIGUR
Cu această rezervare bine definită, continui.
Voi merge pe părți și nu voi explica fiecare proces foarte atent. Voi menționa și clarifica un lucru sau altul, astfel încât să poată merge la Google cu o idee mai clară a ceea ce caută.
Înainte și în timpul instalării
- Este foarte recomandat ca serverul să fie instalat cât mai „minim” posibil. În acest fel, împiedicăm executarea serviciilor despre care nici măcar nu știm că sunt acolo sau pentru ce servesc. Acest lucru vă asigură că toată configurarea rulează pe cont propriu.
- Se recomandă ca serverul să nu fie utilizat ca stație de lucru de zi cu zi. (Cu care citiți această postare. De exemplu)
- Sper că serverul nu are un mediu grafic
Partiționare.
- Se recomandă ca folderele utilizate de utilizator, cum ar fi "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /" să fie atribuite unei partiții diferite de cea a sistemului.
- Dosarele critice precum „/ var / log” (unde sunt stocate toate jurnalele de sistem) sunt plasate pe o partiție diferită.
- Acum, în funcție de tipul de server, dacă de exemplu este un server de mail. Dosar "
/var/mail
și / sau/var/spool/mail
»Ar trebui să fie o partiție separată.
Parola.
Nu este un secret pentru nimeni că parola utilizatorilor sistemului și / sau a altor tipuri de servicii care le utilizează trebuie să fie sigure.
Recomandările sunt:
- Aceasta nu conține: Numele dvs., numele animalului dvs. de companie, numele rudelor, datele speciale, locurile etc. In concluzie. Parola nu ar trebui să aibă nimic legat de dvs. sau nimic care vă înconjoară sau de viața dvs. de zi cu zi și nici nu ar trebui să aibă nimic legat de contul în sine. Exemplu: twitter # 123.
- Parola trebuie să respecte, de asemenea, parametri precum: Combinați majuscule, minuscule, numere și caractere speciale. Exemplu: DiAFsd · 354 dolari ″
După instalarea sistemului
- Este ceva personal. Dar îmi place să șterg utilizatorul ROOT și să atribuie toate privilegiile unui alt utilizator, așa că evit atacurile asupra acelui utilizator. Fiind foarte comun.
- Este foarte practic să vă abonați la o listă de corespondență unde sunt anunțate erorile de securitate ale distribuției pe care o utilizați. Pe lângă bloguri, bugzilla sau alte instanțe care vă pot avertiza cu privire la posibile erori.
- Ca întotdeauna, se recomandă o actualizare constantă a sistemului, precum și a componentelor sale.
- Unii oameni recomandă, de asemenea, securizarea Grub sau LILO și BIOS-ul nostru cu o parolă.
- Există instrumente precum „chage” care permite utilizatorilor să fie obligați să-și schimbe parola de fiecare dată, în plus față de timpul minim pe care trebuie să-l aștepte pentru a face acest lucru și alte opțiuni.
Există multe modalități de a ne securiza computerul. Toate cele de mai sus au fost înainte de a instala un serviciu. Și menționează doar câteva lucruri.
Există manuale destul de extinse care merită citite. să înveți despre această mare imensă de posibilități .. De-a lungul timpului înveți un lucru sau altul. Și îți vei da seama că lipsește mereu .. Întotdeauna ...
Acum să ne asigurăm puțin mai mult SERVICII. Prima mea recomandare este întotdeauna: «NU LĂSAȚI CONFIGURĂRILE DEFAULTATE». Accesați întotdeauna fișierul de configurare a serviciului, citiți puțin despre ceea ce face fiecare parametru și nu îl lăsați așa cum este instalat. Întotdeauna aduce probleme cu el.
In orice caz:
SSH (/ etc / ssh / sshd_config)
În SSH putem face multe lucruri, astfel încât să nu fie atât de ușor de încălcat.
De exemplu:
-Nu permiteți autentificarea ROOT (în cazul în care nu ați modificat-o):
"PermitRootLogin no"
-Nu lăsați parolele să fie necompletate.
"PermitEmptyPasswords no"
-Schimbați portul unde ascultă.
"Port 666oListenAddress 192.168.0.1:666"
-Autorizați numai anumiți utilizatori.
"AllowUsers alex ref me@somewhere"
Me @ undeva este să forțeze acel utilizator să se conecteze întotdeauna de la același IP.
-Autorizați grupuri specifice.
"AllowGroups wheel admin"
Sfaturi.
- Este destul de sigur și, de asemenea, aproape obligatoriu pentru a pune în custodie utilizatorii ssh prin chroot.
- De asemenea, puteți dezactiva transferul de fișiere.
- Limitați numărul de încercări de conectare nereușite.
Instrumente aproape esențiale.
Fail2ban: Acest instrument aflat în repo, ne permite să limităm numărul de accesări la multe tipuri de servicii „ftp, ssh, apache ... etc”, interzicând ip-ul care depășește limita de încercări.
Produse de întărire: Sunt instrumente care ne permit să „întărim” sau mai degrabă să ne armăm instalarea cu firewall-uri și / sau alte instanțe. Printre ei "căli și Bastille Linux«
Detectoare de intruși: Există multe NIDS, HIDS și alte instrumente care ne permit să ne prevenim și să ne protejăm de atacuri, prin jurnale și alerte. Printre multe alte instrumente. Exista "OSSEC«
In concluzie. Acesta nu era un manual de securitate, ci mai degrabă erau o serie de elemente de care să ții cont pentru a avea un server destul de sigur.
Ca sfat personal. Citiți multe despre cum să vizualizați și să analizați JURNALELE și să devenim niște tocilari Iptables. În plus, cu cât este instalat mai mult software pe server, cu atât devine mai vulnerabil, de exemplu, un CMS trebuie să fie bine gestionat, actualizându-l și aruncând o privire bună la ce tip de pluginuri adăugăm.
Mai târziu vreau să trimit o postare despre cum să asigur ceva anume. Acolo dacă pot să dau mai multe detalii și să fac practica.
Salvat în favorite!
Salutări!
SFATURI excelente, ei bine, anul trecut, am instalat mai multe sisteme de securitate și monitorizare într-o "Linie aeriană națională majoră" și am fost surprins să aflu că, în ciuda câtorva zeci de milioane de dolari în echipamente (SUN Solaris, Red Hat, VM WARE, Windows Server , Oracle DB etc.), securitate NIMIC.
Am folosit Nagios, Nagvis, Centreon PNP4Nagios, Nessus și OSSEC, parola de root a fost cunoașterea publicului, ei bine, într-un an s-a făcut curățenie, ceea ce a meritat să câștigi mulți bani, dar și multă experiență în acest tip de lucru. Nu strică niciodată să iei în considerare tot ce tocmai ai explicat.
Salutări.
Grozav. Direct către preferatele mele.
Super articol ... <3
Che, pentru următoarea poți explica în continuare cum să folosești ossec sau alte instrumente! Foarte bine postarea! Mai mult, te rog!
În februarie, pentru vacanța mea, vreau să cooperez cu un post Nagios și cu instrumentele de monitorizare.
Salutări.
Bun articol, nu plănuisem nimic altceva pentru a-mi repara PC-ul pentru a scrie unul pe un tilin mai cuprinzător, dar ai trecut de mine xD. Bună contribuție!
Aș dori, de asemenea, să văd o postare dedicată detectoarelor de intruziune. Așa o adaug la favorite.