Zaščitite domači strežnik pred zunanjimi napadi.

Danes vam bom dal nekaj nasvetov, kako imeti varnejši domači strežnik (ali malo večji). Toda preden me živega raztrgajo.

NIČ NI VSE VARNO

S to natančno opredeljeno rezervacijo nadaljujem.

Delal bom po delih in ne bom posebej natančno razlagal vsakega postopka. Omenil ga bom le in pojasnil eno ali drugo malenkost, da bodo lahko z jasnejšo predstavo o tem, kaj iščejo, šli v Google.

Pred in med namestitvijo

• Zelo priporočljivo je, da je strežnik nameščen čim manj "minimalno". Na ta način preprečujemo izvajanje storitev, za katere niti sami ne vemo, ali obstajajo ali čemu so namenjene. To zagotavlja, da se vsa namestitev izvaja sama.
• Priporočljivo je, da strežnika ne uporabljate kot vsakodnevno delovno postajo. (S katero berete to objavo. Na primer)
• Upajmo, da strežnik nima grafičnega okolja

Pregrada.

• Priporočljivo je, da se mape, ki jih uporabnik uporablja, na primer "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /", dodelijo drugi particiji kot sistemski.
• Kritične mape, kot je "/ var / log" (kjer so shranjeni vsi sistemski dnevniki), so postavljene na drugo particijo.
• Zdaj, odvisno od vrste strežnika, če je na primer poštni strežnik. Mapa "/var/mail in / ali /var/spool/mail»Morala bi biti ločena particija.

Geslo.

Nikomur ni skrivnost, da mora biti geslo uporabnikov sistema in / ali drugih vrst storitev, ki jih uporabljajo, varno.

Priporočila so:

• To ne vsebuje: Vaše ime, ime vašega ljubljenčka, ime sorodnikov, posebni datumi, kraji itd. V zaključku. Geslo ne sme vsebovati ničesar, povezanega z vami, niti ničesar, kar vas obdaja ali vaše vsakdanje življenje, niti ne sme imeti ničesar, povezanega s samim računom.  Primer: twitter # 123.
• Geslo mora biti tudi v skladu s parametri, kot so: Kombiniraj velike, male črke, številke in posebne znake.  Primer: DiAFsd · 354 USD ″

Po namestitvi sistema

• To je nekaj osebnega. Rad pa izbrišem uporabnika ROOT in dodelim vse privilegije drugemu uporabniku, zato se izogibam napadom na tega uporabnika. Biti zelo pogost.

• Zelo praktično je, da se naročite na poštni seznam, kjer so napovedane varnostne napake distribucije, ki jo uporabljate. Poleg spletnih dnevnikov, bugzille ali drugih primerov, ki vas lahko opozorijo na morebitne napake.
• Kot vedno je priporočljivo stalno posodabljanje sistema in njegovih komponent.
• Nekateri priporočajo tudi zaščito Gruba ali LILO in našega BIOS-a z geslom.
• Obstajajo orodja, kot je "chage", ki uporabnikom omogočajo, da vsak X spremenijo geslo, poleg minimalnega časa, na katerega morajo počakati, in druge možnosti.

Obstaja veliko načinov za zaščito našega računalnika. Vse našteto je bilo pred namestitvijo storitve. In omenite le nekaj stvari.

Obstaja precej obsežnih priročnikov, ki jih je vredno prebrati. spoznati to neizmerno morje možnosti. Sčasoma se boste naučili ene ali druge malenkosti. In spoznali boste, da vedno manjka .. Vedno ...

Zdaj pa poskrbimo za malo več STORITVE. Moje prvo priporočilo je vedno: «NE Pustite privzetih konfiguracij». Vedno pojdite na konfiguracijsko datoteko storitve, preberite nekaj o tem, kaj počne posamezen parameter, in ga ne puščajte, ko je nameščen. Vedno s seboj prinese težave.

Vendar:

SSH (/ etc / ssh / sshd_config)

V SSH lahko storimo marsikaj, da ga ni tako enostavno kršiti.

Na primer:

-Ne dovolite prijave ROOT (če je niste spremenili):

"PermitRootLogin no"

-Gesla ne smejo biti prazna.

"PermitEmptyPasswords no"

-Spremenite vrata, kjer posluša.

"Port 666oListenAddress 192.168.0.1:666"

-Pooblastite samo določene uporabnike.

"AllowUsers alex ref me@somewhere"   Me @ nekje je prisiliti tega uporabnika, da se vedno poveže z istim IP-jem.

-Dovoli posebne skupine.

"AllowGroups wheel admin"

Nasveti.

• Precej varno in tudi skoraj obvezno je, da uporabnike ssh zapre v kletko prek chroot-a.
• Prav tako lahko onemogočite prenos datotek.
• Omejite število neuspešnih poskusov prijave.

Skoraj nujna orodja.

Fail2ban: To orodje, ki je v repo skladiščih, nam omogoča, da omejimo število dostopov na številne vrste storitev "ftp, ssh, apache ... itd.", S čimer prepovemo IP-je, ki presegajo omejitev poskusov.

Utrjevalci: So orodja, ki nam omogočajo, da "utrdi" ali bolje opremi našo namestitev z požarnimi zidovi in ​​/ ali drugimi primerki. Med njimi "Harden in Bastille Linux«

Detektorji vsiljivca: Obstaja veliko NIDS, HIDS in drugih orodij, ki nam omogočajo, da se prek dnevnikov in opozoril preprečimo in zaščitimo pred napadi. Med številnimi drugimi orodji. Obstaja "OSSEC«

V zaključku. To ni bil varnostni priročnik, temveč gre za vrsto elementov, ki jih je treba upoštevati, da bi imeli dokaj varen strežnik.

Kot osebni nasvet. Preberite veliko o tem, kako si ogledati in analizirati DNEVNIKE, in postanimo nekaj Iptables nerdov. Poleg tega, bolj ko je programska oprema nameščena na strežniku, bolj ranljiva postane, na primer s sistemom za upravljanje vsebin je treba dobro upravljati, ga posodabljati in zelo dobro gledati, kakšne vtičnike dodajamo.

Kasneje želim poslati objavo o tem, kako zagotoviti nekaj posebnega. Če lahko povem več podrobnosti in opravim prakso.