Сегодня я дам вам несколько советов о том, как получить более безопасный домашний сервер (или немного большего размера). Но прежде, чем они разорвут меня заживо.
НИЧЕГО НЕ БЕЗОПАСНО
Я продолжаю с этой четко определенной оговоркой.
Я буду идти по частям и не буду подробно объяснять каждый процесс. Я лишь упомяну об этом и проясню ту или иную мелочь, чтобы они могли пойти в Google с более четким представлением о том, что они ищут.
До и во время установки
- Настоятельно рекомендуется установить сервер как можно «минимально». Таким образом мы предотвращаем запуск сервисов, о которых мы даже не знаем, или для чего они нужны. Это гарантирует, что все настройки будут выполняться самостоятельно.
- Не рекомендуется использовать сервер в качестве повседневной рабочей станции. (С которой вы читаете этот пост. Например)
- Надеюсь на сервере нет графического окружения
Разбиение на разделы.
- Рекомендуется, чтобы папки, используемые пользователем, такие как "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /", были назначены другому разделу, нежели системный.
- Важные папки, такие как «/ var / log» (где хранятся все системные журналы), помещаются в другой раздел.
- Теперь в зависимости от типа сервера, если например это почтовый сервер. Папка "
/var/mail
и / или/var/spool/mail
»Должен быть отдельный раздел.
Пароль.
Ни для кого не секрет, что пароли пользователей системы и / или других типов служб, которые их используют, должны быть безопасными.
Рекомендации следующие:
- Не содержит: Ваше имя, имя вашего питомца, имя родственников, особые даты, места и т. Д. В заключении. Пароль не должен иметь ничего общего с вами или что-либо, что окружает вас или вашу повседневную жизнь, а также не должно иметь ничего общего с самой учетной записью. пример: twitter # 123.
- Пароль также должен соответствовать таким параметрам, как: сочетание прописных и строчных букв, чисел и специальных символов. пример: DiAFsd · 354 доллара США ″
После установки системы
- Это что-то личное. Но мне нравится удалять пользователя ROOT и назначать все привилегии другому пользователю, поэтому я избегаю атак на этого пользователя. Очень распространено.
- Очень удобно подписаться на список рассылки, в котором сообщается об ошибках безопасности используемого вами дистрибутива. В дополнение к блогам, bugzilla или другим экземплярам, которые могут предупреждать вас о возможных ошибках.
- Как всегда, рекомендуется постоянное обновление системы и ее компонентов.
- Некоторые рекомендуют также защитить паролем Grub или LILO и наш BIOS.
- Существуют такие инструменты, как «chage», которые позволяют пользователям менять свой пароль каждый X раз в дополнение к минимальному времени, которое они должны ждать, чтобы сделать это, и другим параметрам.
Есть много способов защитить наш компьютер. Все вышеперечисленное было до установки сервиса. И просто упомяну несколько вещей.
Есть довольно обширные руководства, которые стоит прочитать. узнать об этом необъятном море возможностей Со временем вы узнаете ту или иную мелочь. И вы поймете, что его всегда не хватает .. Всегда ...
Теперь давайте еще немного позаботимся СЕРВИСЫ. Моя первая рекомендация всегда: «НЕ ОСТАВЛЯЙТЕ КОНФИГУРАЦИИ ПО УМОЛЧАНИЮ». Всегда переходите к файлу конфигурации службы, читайте немного о том, что делает каждый параметр, и не оставляйте его установленным. Это всегда приносит с собой проблемы.
Тем не мение:
SSH (/ etc / ssh / sshd_config)
В SSH мы можем многое сделать, поэтому нарушить его не так-то просто.
Например:
-Не разрешать ROOT логин (если вы его не меняли):
"PermitRootLogin no"
-Не позволяйте паролям быть пустыми.
"PermitEmptyPasswords no"
-Изменить порт где слушает.
"Port 666oListenAddress 192.168.0.1:666"
-Авторизуйте только определенных пользователей.
"AllowUsers alex ref me@somewhere"
Me @where - заставить этого пользователя всегда подключаться с одного и того же IP-адреса.
-Авторизовать определенные группы.
"AllowGroups wheel admin"
Подсказки.
- Ограничивать пользователей ssh через chroot совершенно безопасно, а также практически необходимо.
- Вы также можете отключить передачу файлов.
- Ограничьте количество неудачных попыток входа в систему.
Практически необходимые инструменты.
Фэйл2бан: Этот инструмент, который есть в репозиториях, позволяет нам ограничивать количество обращений ко многим типам сервисов «ftp, ssh, apache ... и т.д.», запрещая ip, превышающий лимит попыток.
Отвердители: Это инструменты, которые позволяют нам «укрепить» или, скорее, вооружить нашу установку брандмауэрами и / или другими экземплярами. Из их "затвердеть и Bastille Linux«
Детекторы вторжения: Существует множество NIDS, HIDS и других инструментов, которые позволяют нам предотвращать атаки и защищаться от них с помощью журналов и предупреждений. Среди множества других инструментов. Существует "OSSEC«
В заключении. Это не было руководством по безопасности, скорее, это был набор элементов, которые необходимо учитывать, чтобы иметь достаточно безопасный сервер.
В качестве личного совета. Читайте много о том, как просматривать и анализировать ЖУРНАЛЫ, и давайте станем ботаниками Iptables. Кроме того, чем больше программного обеспечения установлено на сервере, тем более уязвимым он становится, например, CMS должна хорошо управляться, обновлять ее и внимательно следить за тем, какие плагины мы добавляем.
Позже я хочу отправить сообщение о том, как обеспечить что-то конкретное. Там, если я могу дать более подробную информацию и заняться практикой.
Сохранено в избранном!
Привет!
Отличные СОВЕТЫ, ну, в прошлом году я установил в «Важной национальной авиакомпании» несколько систем безопасности и мониторинга, и я был удивлен, узнав, что, несмотря на несколько десятков миллионов долларов на оборудование (SUN Solaris, Red Hat, VM WARE, Windows Сервер, БД Oracle и т. Д.), Безопасность NADA.
Я использовал Nagios, Nagvis, Centreon PNP4Nagios, Nessus и OSSEC, пароль root был общедоступным, ну, через год все это было очищено, что стоило больших денег, но также и большого опыта в этом типе предмет. Никогда не помешает принять во внимание все, что вы только что объяснили.
Привет.
Ницца. Направляйте к моим фаворитам.
Отличная статья ... <3
Че, в ближайшее время можно продолжать объяснять, как использовать ossec или другие инструменты! Очень хороший пост! Больше Пожалуйста!
В феврале в отпуске хочу поработать с инструментами мониторинга и публикаций Nagios.
Привет.
Хорошая статья, я планировал просто отремонтировать свой компьютер, чтобы написать более подробный тилин, но вы опередили меня xD. Хороший вклад!
Еще хотелось бы увидеть пост, посвященный детекторам вторжений. Вот так добавляю в избранное.