Защитите свой домашний сервер от внешних атак.

Сегодня я дам вам несколько советов о том, как получить более безопасный домашний сервер (или немного большего размера). Но прежде, чем они разорвут меня заживо.

НИЧЕГО НЕ БЕЗОПАСНО

Я продолжаю с этой четко определенной оговоркой.

Я буду идти по частям и не буду подробно объяснять каждый процесс. Я лишь упомяну об этом и проясню ту или иную мелочь, чтобы они могли пойти в Google с более четким представлением о том, что они ищут.

До и во время установки

• Настоятельно рекомендуется установить сервер как можно «минимально». Таким образом мы предотвращаем запуск сервисов, о которых мы даже не знаем, или для чего они нужны. Это гарантирует, что все настройки будут выполняться самостоятельно.
• Не рекомендуется использовать сервер в качестве повседневной рабочей станции. (С которой вы читаете этот пост. Например)
• Надеюсь на сервере нет графического окружения

Разбиение на разделы.

• Рекомендуется, чтобы папки, используемые пользователем, такие как "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /", были назначены другому разделу, нежели системный.
• Важные папки, такие как «/ var / log» (где хранятся все системные журналы), помещаются в другой раздел.
• Теперь в зависимости от типа сервера, если например это почтовый сервер. Папка "/var/mail и / или /var/spool/mail»Должен быть отдельный раздел.

Пароль.

Ни для кого не секрет, что пароли пользователей системы и / или других типов служб, которые их используют, должны быть безопасными.

Рекомендации следующие:

• Не содержит: Ваше имя, имя вашего питомца, имя родственников, особые даты, места и т. Д. В заключении. Пароль не должен иметь ничего общего с вами или что-либо, что окружает вас или вашу повседневную жизнь, а также не должно иметь ничего общего с самой учетной записью.  пример: twitter # 123.
• Пароль также должен соответствовать таким параметрам, как: сочетание прописных и строчных букв, чисел и специальных символов.  пример: DiAFsd · 354 доллара США ″

После установки системы

• Это что-то личное. Но мне нравится удалять пользователя ROOT и назначать все привилегии другому пользователю, поэтому я избегаю атак на этого пользователя. Очень распространено.

• Очень удобно подписаться на список рассылки, в котором сообщается об ошибках безопасности используемого вами дистрибутива. В дополнение к блогам, bugzilla или другим экземплярам, ​​которые могут предупреждать вас о возможных ошибках.
• Как всегда, рекомендуется постоянное обновление системы и ее компонентов.
• Некоторые рекомендуют также защитить паролем Grub или LILO и наш BIOS.
• Существуют такие инструменты, как «chage», которые позволяют пользователям менять свой пароль каждый X раз в дополнение к минимальному времени, которое они должны ждать, чтобы сделать это, и другим параметрам.

Есть много способов защитить наш компьютер. Все вышеперечисленное было до установки сервиса. И просто упомяну несколько вещей.

Есть довольно обширные руководства, которые стоит прочитать. узнать об этом необъятном море возможностей Со временем вы узнаете ту или иную мелочь. И вы поймете, что его всегда не хватает .. Всегда ...

Теперь давайте еще немного позаботимся СЕРВИСЫ. Моя первая рекомендация всегда: «НЕ ОСТАВЛЯЙТЕ КОНФИГУРАЦИИ ПО УМОЛЧАНИЮ». Всегда переходите к файлу конфигурации службы, читайте немного о том, что делает каждый параметр, и не оставляйте его установленным. Это всегда приносит с собой проблемы.

Тем не мение:

SSH (/ etc / ssh / sshd_config)

В SSH мы можем многое сделать, поэтому нарушить его не так-то просто.

Например:

-Не разрешать ROOT логин (если вы его не меняли):

"PermitRootLogin no"

-Не позволяйте паролям быть пустыми.

"PermitEmptyPasswords no"

-Изменить порт где слушает.

"Port 666oListenAddress 192.168.0.1:666"

-Авторизуйте только определенных пользователей.

"AllowUsers alex ref me@somewhere"   Me @where - заставить этого пользователя всегда подключаться с одного и того же IP-адреса.

-Авторизовать определенные группы.

"AllowGroups wheel admin"

Подсказки.

• Ограничивать пользователей ssh ​​через chroot совершенно безопасно, а также практически необходимо.
• Вы также можете отключить передачу файлов.
• Ограничьте количество неудачных попыток входа в систему.

Практически необходимые инструменты.

Фэйл2бан: Этот инструмент, который есть в репозиториях, позволяет нам ограничивать количество обращений ко многим типам сервисов «ftp, ssh, apache ... и т.д.», запрещая ip, превышающий лимит попыток.

Отвердители: Это инструменты, которые позволяют нам «укрепить» или, скорее, вооружить нашу установку брандмауэрами и / или другими экземплярами. Из их "затвердеть и Bastille Linux«

Детекторы вторжения: Существует множество NIDS, HIDS и других инструментов, которые позволяют нам предотвращать атаки и защищаться от них с помощью журналов и предупреждений. Среди множества других инструментов. Существует "OSSEC«

В заключении. Это не было руководством по безопасности, скорее, это был набор элементов, которые необходимо учитывать, чтобы иметь достаточно безопасный сервер.

В качестве личного совета. Читайте много о том, как просматривать и анализировать ЖУРНАЛЫ, и давайте станем ботаниками Iptables. Кроме того, чем больше программного обеспечения установлено на сервере, тем более уязвимым он становится, например, CMS должна хорошо управляться, обновлять ее и внимательно следить за тем, какие плагины мы добавляем.

Позже я хочу отправить сообщение о том, как обеспечить что-то конкретное. Там, если я могу дать более подробную информацию и заняться практикой.