Kroky na zabezpečenie nášho VPS

Tento výukový program ukazuje, ako pripraviť a zabezpečiť virtuálny privátny server (VPS) v systéme Debian GNU / Linux. Skôr ako začneme, predpokladáme určité veci:

1. Máte stredne pokročilú znalosť GNU / Linux.
2. Existuje VPS na osobné použitie, ku ktorému máme prístup cez SSH.
3. VPS má vyhradený externý ipv4 250.250.250.155 a náš poskytovateľ vlastní blok 250.250.0.0/16. (1)
4. V našom VPS budeme mať prístup z vonku iba na služby http, https a ssh.
5. Externý server DNS nebude povolený, pretože sa zvyčajne vykonáva na paneli nášho poskytovateľa. (2)
6. Bude to fungovať ako superuser.

inštalácia

Ako prvý krok aktualizujeme server a nainštalujeme niekoľko balíkov, ktoré budeme potrebovať:

# aptitude update & aptitude safe-upgrade # aptitude -RvW install dropbear gesftpserver sslh iptables-persistent ulogd fail2ban nginx-light apache2-utils dnsutils telnet ghostscript poppler-utils zip unzip unrar-free p7zip-full less multitail tee mc

konfigurácia

Teraz vytvoríme pracovného používateľa. Práca ako root na serveri je nezabezpečená, takže najskôr vytvoríme špeciálneho používateľa:

adduser operator usermod -aG sudo operator

Prvý príkaz vytvorí operátora užívateľa, druhý ho pridá do skupiny sudo, ktorá vám umožní spúšťať aplikácie ako root.

Upravte povolenia pre super používateľov

Ako pravidelnú prácu budeme používať používateľa operátor predtým vytvorené, musíme upraviť možnosti vykonávania príkazov ako superužívateľ, pre ktorého vykonáme nasledujúci príkaz:

visudo

Tento príkaz v zásade umožňuje úpravu súboru / Etc / sudoers; v ktorých by sme mali obsahovať tieto riadky:

Predvolené hodnoty env_reset, timestamp_timeout = 0% sudo ALL = (ALL: ALL) ALL

V prvom riadku je možnosť pridaná k predvoleným hodnotám timestamp_timeout ktorý umožňuje nastaviť dobu platnosti (v minútach) hesla pri vykonaní príkazu sudo. Predvolená hodnota je 5, ale niekedy je to nebezpečné z dvoch dôvodov:

1. Ak nechtiac necháme náš počítač prihlásený pred vypršaním platnosti hesla, niekto môže vykonať príkaz ako superužívateľ bez akýchkoľvek obmedzení.
2. Ak z nevedomosti vykonáme aplikáciu alebo skript, ktorý obsahuje škodlivý kód, pred vypršaním platnosti hesla, mohla by mať aplikácia prístup do nášho systému ako superuser bez nášho výslovného súhlasu.

Aby sme sa vyhli rizikám, nastavili sme hodnotu na nulu, to znamená, že pri každom vykonaní príkazu sudo bude potrebné zadať heslo. Ak je záporná hodnota nastavená na -1, bude to mať za následok, že platnosť hesla nikdy nevyprší, čo by prinieslo opačný výsledok, aký chceme.

V druhom riadku je objasnené, že skupina sudo môže vykonať ľubovoľný príkaz na ľubovoľnom počítači, čo je obvyklé, hoci je možné ho upraviť. (3) Existujú ľudia, ktorí pre jednoduchosť uvedú riadok nasledovne, aby nemuseli zadávať heslo:

% sudo ALL = (ALL: ALL) NOPASSWD: ALL

Ako sme už však vysvetlili, je to riskantné, a preto sa neodporúča.

Zakázať reštart

Z bezpečnostných dôvodov tiež deaktivujeme reštart pomocou kombinácie klávesov Ctrl + Alt + Del, pre ktoré musíme do súboru pridať tento riadok / etc / inittab:

ca: 12345: ctrlaltdel: / bin / echo "Ctrl + Alt + Del bol zakázaný."

Nahraďte OpenSSH za DropBear

Väčšina VPS sa dodáva s nainštalovaným OpenSSH, čo je určite veľmi užitočné, ale pokiaľ nepotrebujeme využívať všetky funkcie OpenSSH, existujú ľahšie alternatívy pre VPS, ako napríklad dropbear, čo zvyčajne postačuje na pravidelné používanie. Nevýhodou tejto aplikácie však je, že neprichádza s integrovaným serverom SFTP, a preto sme na začiatku nainštalovali balík gesftpserver.

Ak chcete nakonfigurovať Dropbear, upravíme súbor / etc / default / dropbear takže obsahuje tieto dva riadky:

NO_START = 0 DROPBEAR_EXTRA_ARGS = "- w -p 127.0.0.1:22 -I 1200 -m"

Prvý riadok jednoducho umožňuje službu a druhý robí niekoľko vecí:

1. Vyhnite sa prístupu root.
2. Službu nasadí na port 22 miestneho rozhrania (prečo si vysvetlíme neskôr).
3. Nastavuje čas čakania (20 minút).

SSLH

Port 22 (SSH) je dobre známy a je všeobecne jedným z prvých, ktoré sa hackeri pokúsia prelomiť, takže namiesto toho použijeme port 443 (SSL). Stáva sa, že tento port slúži na bezpečné prehliadanie cez HTTPS.

Z tohto dôvodu použijeme balíček sslh, ktorý nie je ničím iným ako multiplexerom, ktorý analyzuje pakety prichádzajúce na port 443 a smeruje ich interne do jednej alebo druhej služby v závislosti od toho, či je typ prenosu SSH alebo SSL.

SSLH nemôže počúvať na rozhraní, kde už počúva iná služba, a preto sme predtým Dropbear nastavili na počúvanie na lokálnom rozhraní.

Čo teraz musíme urobiť, je naznačiť sslh rozhranie a port, cez ktorý má počúvať a kam presmerovať pakety v závislosti od typu služby, a preto upravíme konfiguračný súbor / etc / default / sslh:

DAEMON = / usr / sbin / sslh DAEMON_OPTS = "- používateľ sslh --listen 250.250.250.155:443 --ssh 127.0.0.1:22 --ssl 127.0.0.1:443 --pidfile / var / run / sslh / sslh. pid „RUN = áno

Nakoniec reštartujeme služby:

služba ssh stop && služba dropbear štart && služba sslh reštart

Po predchádzajúcom príkaze bude naša zabezpečená relácia pravdepodobne prerušená, v takom prípade sa stačí prihlásiť znova, tentokrát však s pracovným používateľom a pomocou portu 443. Pokiaľ relácia nie je prerušená, je vhodné ju uzavrieť a začať znova s ​​príslušnými hodnotami.

Ak všetko funguje správne, môžeme pokračovať v práci ako root a ak chceme, odinštalovať OpenSSH:

sudo su - aptitude -r očistiť openssh-server

firewally

Ďalšia vec, ktorú urobíme, je oddelenie protokolov z brány firewall do samostatného súboru /var/log/firewall.log aby sme uľahčili ďalšiu analýzu, a preto sme pri spustení nainštalovali balík ulogd. Za týmto účelom upravíme súbor /etc/logd.conf upraviť príslušnú časť:

[LOGEMU] file = "/ var / log / firewall.log" sync = 1

Ďalej upravíme rotačný súbor záznamu / etc / logrotate / ulogd udržiavať dennú rotáciu (s dátumom) a ukladať komprimované salvy do adresára / var / log / ulog /:

/var/log/ulog/*.log /var/log/firewall.log {daily dateext chýba ok komprimovať delaycompress zdieľané skripty vytvoriť 640 root adm postrotate /etc/init.d/ulogd znovu načítať mv /var/log/firewall.log-* .gz / var / log / ulog / endscript}

Pravidlá netfiltra teda vytvoríme vykonaním nasledujúcich krokov:

IPT = $ (ktoré iptables) IPEXT = 250.250.250.155 IPEXTBLK = 250.250.0.0 / 16 IPBCAST = 255.255.255.255 $ IPT -F $ IPT -X $ IPT -Z $ IPT -A VSTUP -i lo -j AKCEPT $ IPT - P VSTUP DROP $ IPT -P VPRED DROP $ IPT -P VÝSTUP AKCEPTOVAŤ $ IPT -A VSTUP -m stav - štát INVALID -j ULOG --ulog-prefix IN_INVALID $ IPT -A INPUT -p igmp -j ULOG --ulog -prefix IN_IGMP $ IPT -A INPUT -m pkttype --pkt-type broadcast -j ULOG --ulog-prefix IN_BCAST $ IPT -A INPUT -m pkttype --pkt-type multicast -j ULOG --ulog-prefix IN_MCAST $ IPT -A FORWARD -j ULOG --ulog-prefix FORWARD $ IPT -N ICMP_IN $ IPT -A VSTUP!  -i lo -p icmp -j ICMP_IN $ IPT -A ICMP_IN -p icmp -f -j ULOG --ulog-prefix IN_ICMP_FRAGMENTED $ IPT -A ICMP_IN -p icmp -m icmp -m dĺžka!  --length 28: 1322 -j ULOG --ulog-prefix IN_ICMP_INVALIDSIZE $ IPT -A ICMP_IN -p icmp -m icmp -m hashlimit --hashlimit-nad 4 / s --hashlimit-mode srcip --hashlimit-srcmask 24 - -hashlimit-name icmpflood -j ULOG --ulog-prefix IN_ICMP_FLOOD $ IPT -A ICMP_IN -p icmp -m icmp -m hashlimit --hashlimit-up do 64kb / min --hashlimit-mode srcip --hashlimit-srcmask 24 - hashlimit -name icmpattack -j ULOG --ulog-prefix IN_ICMP_FLOOD $ IPT -A ICMP_IN -p icmp -m icmp -m u32!  --u32 "0x4 & 0x3fff = 0x0" -j ULOG --ulog-predpona IN_ICMP_ATTACK $ IPT -A ICMP_IN -p icmp -m icmp!  --icmp-type echo-request -m state --state NEW -j ULOG --ulog-prefix IN_ICMP_INVALID $ IPT -A ICMP_IN -p icmp -m icmp --icmp-type echo-request -j ULOG --ulog- predpona IN_ICMP $ IPT -A ICMP_IN -p icmp -m icmp --icmp-typ echo-request -m limit --limit 1 / s --limit-burst 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp --icmp-type echo-response -m limit --limit 2 / sec --limit-burst 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp --icmp-type destination-unreachable -m limit - limit 2 / s --limit-burst 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp --icmp-typ časovo prekročený -m limit --limit 2 / s --limit-burst 4 -j ACCEPT $ IPT -A ICMP_IN -p icmp -m icmp --icmp-type parameter-problem -m limit --limit 2 / sec --limit-burst 4 -j ACCEPT $ IPT -A ICMP_IN -j RETURN $ IPT -N UDP_IN $ IPT - VSTUP!  -i lo -p udp -j UDP_IN $ IPT -A UDP_IN!  -i hľa!  -p udp -f -j ULOG --ulog-prefix IN_UDP_FRAGMENTED $ IPT -A UDP_IN -p udp -m udp --sport 53 -m dĺžka!  --length 28: 576 -j ULOG --ulog-prefix IN_UDP_DNS_INVALIDSIZE $ IPT -A UDP_IN -p udp -m udp --dport 53 -m -state --state NEW -j ULOG --ulog-prefix IN_UDP_DNSREQUEST $ IPT - A UDP_IN -p udp -m udp --dport 53 -m -state --state NEW -j REJECT --reject-with icmp-port-nedosiahnuteľný $ IPT -A UDP_IN -p udp -m udp!  - šport 53!  -s $ IPEXTBLK!  -d $ IPBCAST -m štát --state NOVÝ -j ULOG --ulog-prefix IN_UDP $ IPT -A UDP_IN -p udp -m udp -m stav --state ZISTENÉ, SÚVISIACE -j AKCEPT $ IPT -A UDP_IN -j NÁVRAT $ IPT -N TCP_IN $ IPT -A VSTUP!  -i lo -p tcp -j TCP_IN $ IPT -A TCP_IN!  -i hľa!  -p tcp -f -j ULOG --ulog-predpona IN_TCP_FRAGMENTED $ IPT -A TCP_IN -p tcp -m tcp --sport 53 -m stav --stav STANOVENÝ, SÚVISIACE -m dĺžka!  --dĺžka 513: 1500 -j ULOG --ulog-prefix IN_TCP_DNS_INVALIDSIZE $ IPT -A TCP_IN -p tcp -m tcp --dport 53 -m state --state NEW -j ULOG --ulog-prefix IN_TCP_DNS $ IPT -A TCP_IN -p tcp -m tcp --dport 53 -m stav --state NOVÝ -j ZAMIETNUTIE --reject-s icmp-port-nedosiahnuteľný $ IPT -A TCP_IN -p tcp -m tcp -m multiport!  --dports 80,443 -m state --state NEW -j ULOG --ulog-prefix IN_TCP $ IPT -A TCP_IN -p tcp -m tcp -m multiport --dports 80,443 -m state --state NEW --m hashlimit - hashlimit - až 4 / s --hashlimit-burst 16 --hashlimit-mode srcip --hashlimit-name navreq -j ACCEPT $ IPT -A TCP_IN -p tcp -m tcp -m multiport --dports 80,443 -m štát - štát ZOSTAVENÝ -m príbuzné!  --connlimit-above 16 -j ACCEPT $ IPT -A TCP_IN -p tcp -m tcp -m multiport! 

S predchádzajúcou konfiguráciou by mal byť náš VPS primerane zabezpečený, ale ak si prajeme, môžeme ho zabezpečiť trochu viac, pre čo môžeme použiť niektoré pokročilejšie pravidlá.

Nie všetky VPS umožňujú inštaláciu ďalších modulov pre netfilter, ale veľmi užitočný je psd, čo umožňuje vyhnúť sa skenovaniu portov. Tento modul bohužiaľ nie je predvolene integrovaný do netfiltra, takže je potrebné nainštalovať určité balíčky a potom modul zostaviť:

aptitude -RvW nainštalovať iptables-dev xtables-addons-source module-assistant module-assistant --verbose --textový režim automatická inštalácia xtables-addons-source

Po vykonaní vyššie uvedeného môžeme pridať toto pravidlo:

iptables -A INPUT -m psd --psd-weight-threshold 15 --psd-delay-threshold 2000 --psd-lo-port-weight 3 --psd-hi-ports-weight 1 -j ULOG --ulog- predpona IN_PORTSCAN

Vyššie uvedené pravidlo v podstate znamená, že vytvoríme počítadlo, ktoré sa zvýši o 3 pri každom pokuse o prístup k portu nižšiemu ako 1024 a o 1 pri každom pokuse o prístup k portu vyššiemu ako 1023, a keď toto počítadlo dosiahne 15 v po dobu kratšiu ako 20 sekúnd budú balíčky zaregistrované do ulog ako pokus o portskan. Pakety sa stále dali vyhodiť naraz, ale v tomto prípade to chceme použiť fail2ban, ktorú si neskôr nakonfigurujeme.

Po vytvorení pravidiel musíme urobiť určité preventívne opatrenia, aby boli trvalé, inak ich pri reštarte servera stratíme. Existuje niekoľko spôsobov, ako to dosiahnuť; V tomto tutoriále použijeme balíček iptables-persistent, ktorý sme nainštalovali na začiatku a do ktorého sa ukladajú pravidlá /etc/iptables/rules.v4 y /etc/iptables/rules.v6 pre ipv6.

iptables-save> /etc/iptables/rules.v4

V skutočnosti, aj keď použitie protokolu ipv6 na Kube ešte nie je rozšírené, mohli by sme vytvoriť niekoľko základných pravidiel:

IPT = $ (ktorý ip6tables) $ IPT -P VSTUP DROP $ IPT -P VPRED DROP $ IPT -P VÝSTUP AKCEPT $ IPT -A VSTUP -i lo -j PRIJAŤ $ IPT -A VSTUP! -i lo -m state --state VZDELANÝ, SÚVISIACE -j ACCEPT zrušiť nastavenie IPT

Tieto pravidlá možno tiež zmeniť na trvalé:

ip6tables-save> /etc/iptables/rules.v6

Nakoniec pre väčšiu bezpečnosť vyčistíme register brány firewall a reštartujeme služby:

echo -n> /var/log/firewall.log service logrotate restart service ulogd restart service iptables-persistent restart

Nginx

Nginx použijeme ako webový server, pretože VPS majú v porovnaní so skutočným serverom zníženú veľkosť pamäte RAM, takže je všeobecne dobré mať niečo ľahšie ako Apache.

Pred konfiguráciou Nginx vytvoríme certifikát (bez hesla) pre použitie cez HTTPS:

cd / etc / nginx openssl genrsa -des3 -out cert.key 4096 cp -v cert.key cert.key.original openssl req -new -key cert.key -out cert.csr openssl rsa -in cert.key.original - out cert.key openssl x509 -requ -days 365 -in cert.csr -signkey cert.key -out cert.crt

Po dokončení vytvoríme súbor hesla pre používateľa „elusuario“:

htpasswd -c .htpasswd používateľa

Ďalej upravíme súbor / Etc / nginx / sites-available / default na nastavenie predvolených predvolieb stránok. Môže to vyzerať takto:

server {nazov_serveru localhost; index index.html index.htm default.html default.htm; root / var / www; umiestnenie / {# nastavenie overovacieho príkazu a stránky na načítanie, ak sa URI nenájde try_files $ uri $ uri / /index.html; }} server {pocuvat 127.0.0.1:443; názov_servera localhost; index index.html index.htm default.html default.htm; root / var / www; ssl ďalej; ssl_certificate cert.crt; ssl_certificate_key cert.key; ssl_session_timeout 5m; # Povoliť HTTPS iba cez TLS (bezpečnejšie ako SSL) ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # dajte prednosť šifrám s vysokou pevnosťou [HIGH], # posuňte šifry so strednou silou [MEDIUM] na koniec zoznamu, # deaktivujte šifry s nízkou silou [LOW] (40 a 56 bitov) # deaktivujte šifry pomocou exportných algoritmov [ EXP] # deaktivovať nulové šifry [eNULL], bez autentifikácie [aNULL], SSL (verzie 2 a 3) a DSS (povoliť iba kľúče do 1024 bitov) ssl_ciphers VYSOKÁ: + STREDNÁ :! NÍZKA :! EXP:! ANULL :! eNULL :! SSLv3 :! SSLv2 :! DSS; # Preferujte metódy šifrovania servera (štandardne sa používajú klientske) ssl_prefer_server_ciphers on; umiestnenie / {# povoliť autentifikáciu auth_basic "Prihlásenie"; auth_basic_user_file /etc/nginx/.htpasswd; # nastavte poradie overenia a načítanie kódu stránky, ak sa identifikátor URI try_files $ uri $ uri / = 404 nenájde; # povoliť vytvorenie indexu pre autoindex autentifikovaných používateľov na; autoindex_exact_size off; autoindex_localtime zapnutý; }}

Skontrolujeme, či je konfigurácia správna:

nginx-t

Nakoniec reštartujeme službu:

služba nginx restart

Fail2Ban

Pred začatím konfigurácie Fail2Ban kvôli vyššej bezpečnosti zastavíme službu a vyčistíme register:

fail2ban-client stop echo -n> /var/log/fail2ban.log

Ďalej vytvoríme konfiguračný súbor /etc/fail2ban/jail.local s nasledujúcim vlastným obsahom:

# Vlastný konfiguračný súbor /etc/fail2ban/jail.local # [DEFAULT] findtime = 43200; 12 hodín bantime = 86400; 1 deň maxretry = 3; zákaz začne platiť po 4. pokuse [ssh] enabled = false [nginx-auth] enabled = true filter = nginx-auth action = iptables-multiport [name = NoAuthFailures, port = "http, https"] logpath = / var / log / nginx * / * error * .log [nginx-badbots] enabled = true filter = apache-badbots action = iptables-multiport [name = BadBots, port = "http, https"] logpath = / var / log / nginx * / *access*.log bantime = 604800; Maxretry 1 týždeň = 0 [nginx-login] povolené = skutočný filter = nginx-login akcia = iptables-multiport [name = NoLoginFailures, port = "http, https"] logpath = / var / log / nginx * / * prístup *. log bantime = 1800; 30 minút [nginx-noscript] enabled = true action = iptables-multiport [name = NoScript, port = "http, https"] filter = nginx-noscript logpath = /var/log/nginx*/*access*.log maxretry = 0 [nginx-proxy] enabled = true action = iptables-multiport [name = NoProxy, port = "http, https"] filter = nginx-proxy logpath = /var/log/nginx*/*access*.log bantime = 604800 ; 1 týždeň maxretry = 0 [brána firewall] povolená = skutočná akcia = iptables-multiport [názov = brána firewall] filter = cesta brány firewall = /var/log/firewall.log maxretry = 0

Keď je to hotové, tvoríme v adresári /etc/fail2ban/filters.d/ nasledujúce súbory:

# /etc/fail2ban/filter.d/nginx-auth.conf # Filter overenia # Blokuje adresy IP, ktoré sa nepodarí overiť pomocou základného overenia # [Definícia] failregex = pre základné overenie nebol zadaný žiadny používateľ / heslo. * klient: užívateľ. * sa nenašiel v. * klient: používateľ. * nesúlad hesla. * klient: ignoreregex =

# /etc/fail2ban/filter.d/nginx-login.conf # Filter prihlásenia # Blokuje adresy IP, ktoré sa pri prihlásení webovej aplikácie nepodarí overiť # Skenovať denník prístupu pre HTTP 200 + POST / relácie => nepodarilo sa prihlásiť # [Definícia ] failregex = ^ -. * POST / relácie HTTP / 1 \ .. "200 ignoreregex =

# /etc/fail2ban/filter.d/nginx-noscript.conf # filter skriptov # Blokujte adresy IP, ktoré sa pokúšajú spúšťať skripty, ako sú .php, .pl, .exe a ďalšie zábavné skripty. # Zhody napr. # 192.168.1.1 - - „ZÍSKAŤ /something.php # [Definícia] failregex = ^ -. * GET. * (\. Php | \ .asp | \ .exe | \ .pl | \ .cgi | \ scgi) ignoreregex =

# /etc/fail2ban/filter.d/proxy.conf # Filter proxy # Blokovať adresy IP, ktoré sa snažia použiť server ako server proxy. # Zhody napr. # 192.168.1.1 - - „ZÍSKAJTE http://www.something.com/ # [Definícia] failregex = ^ -. * ZÍSKAŤ http. * Ignoreregex =

# /etc/fail2ban/filter.d/firewall.conf # Firewall filter # [Definícia] failregex = ^. * IN_ (INVALID | PORTSCAN | UDP | TCP |). * SRC = . * $ ignoreregex =

Nakoniec spustíme službu a načítame konfiguráciu:

fail2ban-service -b fail2ban-client reload

Overenie

Ako posledný krok si môžeme prezerať záznamy pomocou tail -f o multitail – follow-all. Táto druhá aplikácia v skutočnosti ponúka tú výhodu, že vám umožňuje prezerať viac súborov súčasne a poskytuje základné zvýraznenie syntaxe.

V prípade, že e-mailový účet nie je vo VPS nakonfigurovaný, je vhodné deaktivovať varovnú správu, ktorá sa zobrazí pri spustení multitailu, pre ktorú vykonáme nasledujúci príkaz:

echo "check_mail: 0"> ~ / .multitailrc

V skutočnosti by sme mohli vytvoriť alias (4) na rýchle prezeranie protokolov pomocou krátkeho príkazu, napríklad „flog“:

alias flog = 'multitail --follow-all /var/log/firewall.log /var/log/fail2ban.log'

1) Ide o fiktívne hodnoty.
2) Povolenie ďalších služieb je jednoduché, keď pochopíte, ako to funguje.
3) Viac informácií získate spustením príkazu man sudoers.
4) Voliteľne je možné pridať do súboru ~ / .bash_aliases