Защитите свой домашний сервер от внешних атак.

Сегодня я дам вам несколько советов о том, как получить более безопасный домашний сервер (или немного большего размера). Но прежде, чем они разорвут меня заживо.

НИЧЕГО НЕ БЕЗОПАСНО

Я продолжаю с этой четко определенной оговоркой.

Я буду идти по частям и не буду подробно объяснять каждый процесс. Я лишь упомяну об этом и проясню ту или иную мелочь, чтобы они могли пойти в Google с более четким представлением о том, что они ищут.

До и во время установки

  • Настоятельно рекомендуется установить сервер как можно «минимально». Таким образом мы предотвращаем запуск сервисов, о которых мы даже не знаем, или для чего они нужны. Это гарантирует, что все настройки будут выполняться самостоятельно.
  • Не рекомендуется использовать сервер в качестве повседневной рабочей станции. (С которой вы читаете этот пост. Например)
  • Надеюсь на сервере нет графического окружения

Разбиение на разделы.

  • Рекомендуется, чтобы папки, используемые пользователем, такие как "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /", были назначены другому разделу, нежели системный.
  • Важные папки, такие как «/ var / log» (где хранятся все системные журналы), помещаются в другой раздел.
  • Теперь в зависимости от типа сервера, если например это почтовый сервер. Папка "/var/mail и / или /var/spool/mail»Должен быть отдельный раздел.

Пароль.

Ни для кого не секрет, что пароли пользователей системы и / или других типов служб, которые их используют, должны быть безопасными.

Рекомендации следующие:

  • Не содержит: Ваше имя, имя вашего питомца, имя родственников, особые даты, места и т. Д. В заключении. Пароль не должен иметь ничего общего с вами или что-либо, что окружает вас или вашу повседневную жизнь, а также не должно иметь ничего общего с самой учетной записью.  пример: twitter # 123.
  • Пароль также должен соответствовать таким параметрам, как: сочетание прописных и строчных букв, чисел и специальных символов.  пример: DiAFsd · 354 доллара США ″

После установки системы

  • Это что-то личное. Но мне нравится удалять пользователя ROOT и назначать все привилегии другому пользователю, поэтому я избегаю атак на этого пользователя. Очень распространено.
Файл / etc / sudoers необходимо отредактировать. Там мы добавляем пользователя, которого хотим быть ROOT, а затем удаляем нашего старого суперпользователя (ROOT)
  • Очень удобно подписаться на список рассылки, в котором сообщается об ошибках безопасности используемого вами дистрибутива. В дополнение к блогам, bugzilla или другим экземплярам, ​​которые могут предупреждать вас о возможных ошибках.
  • Как всегда, рекомендуется постоянное обновление системы и ее компонентов.
  • Некоторые рекомендуют также защитить паролем Grub или LILO и наш BIOS.
  • Существуют такие инструменты, как «chage», которые позволяют пользователям менять свой пароль каждый X раз в дополнение к минимальному времени, которое они должны ждать, чтобы сделать это, и другим параметрам.

Есть много способов защитить наш компьютер. Все вышеперечисленное было до установки сервиса. И просто упомяну несколько вещей.

Есть довольно обширные руководства, которые стоит прочитать. узнать об этом необъятном море возможностей Со временем вы узнаете ту или иную мелочь. И вы поймете, что его всегда не хватает .. Всегда ...

Теперь давайте еще немного позаботимся СЕРВИСЫ. Моя первая рекомендация всегда: «НЕ ОСТАВЛЯЙТЕ КОНФИГУРАЦИИ ПО УМОЛЧАНИЮ». Всегда переходите к файлу конфигурации службы, читайте немного о том, что делает каждый параметр, и не оставляйте его установленным. Это всегда приносит с собой проблемы.

Тем не мение:

SSH (/ etc / ssh / sshd_config)

В SSH мы можем многое сделать, поэтому нарушить его не так-то просто.

Например:

-Не разрешать ROOT логин (если вы его не меняли):

"PermitRootLogin no"

-Не позволяйте паролям быть пустыми.

"PermitEmptyPasswords no"

-Изменить порт где слушает.

"Port 666oListenAddress 192.168.0.1:666"

-Авторизуйте только определенных пользователей.

"AllowUsers alex ref me@somewhere"   Me @where - заставить этого пользователя всегда подключаться с одного и того же IP-адреса.

-Авторизовать определенные группы.

"AllowGroups wheel admin"

Подсказки.

  • Ограничивать пользователей ssh ​​через chroot совершенно безопасно, а также практически необходимо.
  • Вы также можете отключить передачу файлов.
  • Ограничьте количество неудачных попыток входа в систему.

Практически необходимые инструменты.

Фэйл2бан: Этот инструмент, который есть в репозиториях, позволяет нам ограничивать количество обращений ко многим типам сервисов «ftp, ssh, apache ... и т.д.», запрещая ip, превышающий лимит попыток.

Отвердители: Это инструменты, которые позволяют нам «укрепить» или, скорее, вооружить нашу установку брандмауэрами и / или другими экземплярами. Из их "затвердеть и Bastille Linux«

Детекторы вторжения: Существует множество NIDS, HIDS и других инструментов, которые позволяют нам предотвращать атаки и защищаться от них с помощью журналов и предупреждений. Среди множества других инструментов. Существует "OSSEC«

В заключении. Это не было руководством по безопасности, скорее, это был набор элементов, которые необходимо учитывать, чтобы иметь достаточно безопасный сервер.

В качестве личного совета. Читайте много о том, как просматривать и анализировать ЖУРНАЛЫ, и давайте станем ботаниками Iptables. Кроме того, чем больше программного обеспечения установлено на сервере, тем более уязвимым он становится, например, CMS должна хорошо управляться, обновлять ее и внимательно следить за тем, какие плагины мы добавляем.

Позже я хочу отправить сообщение о том, как обеспечить что-то конкретное. Там, если я могу дать более подробную информацию и заняться практикой.


Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

      Элинкс сказал

    Сохранено в избранном!

    Привет!

      Иван Барра сказал

    Отличные СОВЕТЫ, ну, в прошлом году я установил в «Важной национальной авиакомпании» несколько систем безопасности и мониторинга, и я был удивлен, узнав, что, несмотря на несколько десятков миллионов долларов на оборудование (SUN Solaris, Red Hat, VM WARE, Windows Сервер, БД Oracle и т. Д.), Безопасность NADA.

    Я использовал Nagios, Nagvis, Centreon PNP4Nagios, Nessus и OSSEC, пароль root был общедоступным, ну, через год все это было очищено, что стоило больших денег, но также и большого опыта в этом типе предмет. Никогда не помешает принять во внимание все, что вы только что объяснили.

    Привет.

      Блэр Паскаль сказал

    Ницца. Направляйте к моим фаворитам.

      Guzman6001 сказал

    Отличная статья ... <3

      Хуан Игнасио сказал

    Че, в ближайшее время можно продолжать объяснять, как использовать ossec или другие инструменты! Очень хороший пост! Больше Пожалуйста!

         Иван Барра сказал

      В феврале в отпуске хочу поработать с инструментами мониторинга и публикаций Nagios.

      Привет.

      Корацуки сказал

    Хорошая статья, я планировал просто отремонтировать свой компьютер, чтобы написать более подробный тилин, но вы опередили меня xD. Хороший вклад!

      Артуро Молина сказал

    Еще хотелось бы увидеть пост, посвященный детекторам вторжений. Вот так добавляю в избранное.