Chráňte svoj domáci server pred externými útokmi.

Dnes vám dám niekoľko rád, ako mať bezpečnejší domáci server (alebo o niečo väčší). Ale predtým, ako ma zaživa roztrhajú.

NIČ NIE JE ÚPLNE BEZPEČNÉ

S touto dobre definovanou rezerváciou pokračujem.

Idem po častiach a nebudem veľmi pozorne vysvetľovať každý proces. Iba to spomeniem a objasním jednu alebo druhú maličkosť, aby mohli ísť na Google s jasnejšou predstavou o tom, čo hľadajú.

Pred a počas inštalácie

• Dôrazne sa odporúča, aby bol server nainštalovaný čo najmenej. Takto zabránime spusteniu služieb, o ktorých ani nevieme, či tam sú alebo na čo slúžia. Tým je zaistené, že všetko nastavenie bude prebiehať samo.
• Odporúča sa, aby sa server nepoužíval ako každodenná pracovná stanica. (S ktorými čítate tento príspevok. Napríklad)
• Dúfajme, že server nemá grafické prostredie

Delenie na oddiely.

• Odporúča sa, aby priečinky, ktoré používa používateľ, ako napríklad „/ home /“ „/ tmp /“ „/ var / tmp /“ „/ opt /“, boli priradené inému oddielu, ako je systémový.
• Kritické priečinky ako „/ var / log“ (kde sú uložené všetky systémové protokoly) sú umiestnené na inom oddiele.
• Teraz, v závislosti od typu servera, napríklad ak ide o poštový server. Priečinok “/var/mail a / alebo /var/spool/mail»Mal by to byť samostatný oddiel.

Heslo.

Nie je žiadnym tajomstvom, že heslo používateľov systému a / alebo iných typov služieb, ktoré ich používajú, musí byť bezpečné.

Odporúčania sú:

• To neobsahuje: Vaše meno, meno vášho domáceho maznáčika, meno príbuzných, špeciálne dátumy, miesta atď. Na záver. Heslo by nemalo mať nič, čo by sa týkalo vás alebo ničoho, čo obklopuje vás alebo váš každodenný život, ani by nemalo mať nič, čo by sa týkalo samotného účtu.  príklad: twitter # 123.
• Heslo musí tiež vyhovovať parametrom, ako sú: Kombinácia veľkých a malých písmen, čísel a špeciálnych znakov.  príklad: DiAFsd · 354 dolárov ″

Po inštalácii systému

• Je to niečo osobné. Rád by som ale odstránil používateľa ROOT a pridelil všetky privilégiá inému používateľovi, takže sa vyhnem útokom na tohto používateľa. Byť veľmi častý.

• Je veľmi praktické prihlásiť sa na odber zoznamu adries, kde oznamujú chyby zabezpečenia používanej distribúcie. Okrem blogov, bugzilly alebo iných inštancií, ktoré vás môžu varovať pred možnými chybami.
• Ako vždy sa odporúča neustála aktualizácia systému, ako aj jeho komponentov.
• Niektorí odporúčajú tiež zabezpečiť Grub alebo LILO a náš BIOS pomocou hesla.
• Existujú nástroje, ako napríklad „chage“, ktoré umožňujú používateľom prinútiť k zmene hesla vždy X. Okrem minimálneho času, na ktorý musia počkať, a ďalších možností.

Existuje mnoho spôsobov, ako zabezpečiť náš počítač. Všetko vyššie uvedené bolo pred inštaláciou služby. A stačí spomenúť niekoľko vecí.

Existuje pomerne rozsiahly návod, ktorý sa oplatí prečítať. spoznať toto obrovské more možností. Časom sa naučíte jednu alebo druhú maličkosť. A uvedomíte si, že vždy chýba .. Vždy ...

Teraz si zabezpečme niečo viac SLUŽBY. Moje prvé odporúčanie je vždy: «NENECHÁVAJTE VÝCHODNÉ KONFIGURÁCIE». Vždy choďte do konfiguračného súboru služby, prečítajte si trochu o tom, čo jednotlivé parametre robia, a nenechávajte ich tak, ako sú nainštalované. Vždy to so sebou prináša problémy.

Avšak:

SSH (/ etc / ssh / sshd_config)

V SSH môžeme robiť veľa vecí, aby nebolo ľahké porušiť ho.

Napríklad:

- Nepovoliť ROOT prihlásenie (v prípade, že ste ho nezmenili):

"PermitRootLogin no"

- Nenechajte heslá prázdne.

"PermitEmptyPasswords no"

-Zmeňte port, na ktorom počúva.

"Port 666oListenAddress 192.168.0.1:666"

-Autorizovať iba určitých používateľov.

"AllowUsers alex ref me@somewhere"   Me @ niekde je prinútiť tohto používateľa, aby sa vždy pripájal z rovnakej adresy IP.

- Povoliť konkrétne skupiny.

"AllowGroups wheel admin"

Tipy.

• Je celkom bezpečné a tiež takmer povinné ukladať používateľov ssh do klietok cez chroot.
• Môžete tiež zakázať prenos súborov.
• Obmedzte počet neúspešných pokusov o prihlásenie.

Takmer základné nástroje.

Fail2ban: Tento nástroj, ktorý je v repo operáciách, nám umožňuje obmedziť počet prístupov k mnohým typom služieb „ftp, ssh, apache ... atď.“ A zakázať tak ip, ktoré prekračujú limit pokusov.

Otužilci: Sú to nástroje, ktoré nám umožňujú „vytvrdiť“ alebo lepšie vyzbrojiť našu inštaláciu firewallmi a / alebo inými inštanciami. Medzi nimi "stvrdnúť a Bastille Linux«

Detektory votrelcov: Existuje veľa NIDS, HIDS a ďalších nástrojov, ktoré nám umožňujú predchádzať a chrániť sa pred útokmi prostredníctvom protokolov a varovaní. Medzi mnohými ďalšími nástrojmi. Existuje “OSSEC«

Na záver. Nešlo o bezpečnostnú príručku, išlo skôr o sériu položiek, ktoré sa mali brať do úvahy, aby mali server dosť zabezpečený.

Ako osobná rada. Prečítajte si veľa informácií o tom, ako zobraziť a analyzovať LOGY, a staňme sa niekoľkými hlupákmi z Iptables. Čím viac je softvér na serveri nainštalovaný, tým je zraniteľnejší, napríklad CMS musí byť dobre spravovaný, musí byť aktualizovaný a dobre sa pozerať na to, aké doplnky pridávame.

Neskôr chcem poslať príspevok o tom, ako zabezpečiť niečo konkrétne. Tam, ak môžem uviesť viac podrobností a urobiť prax.