Mbroni serverin tuaj të shtëpisë nga sulmet e jashtme.

Sot, unë do t'ju jap disa këshilla se si të keni një server në shtëpi më të sigurt (ose pak më të madh). Por para se të më copëtojnë të gjallë.

ASGJ NUK ISSHT Krejtësisht i Sigurt

Me këtë rezervë të përcaktuar mirë, unë vazhdoj.

Unë do të shkoj sipas pjesëve dhe nuk do të shpjegoj çdo proces me shumë kujdes. Unë vetëm do ta përmend atë dhe do të sqaroj një gjë ose një tjetër, kështu që ata mund të shkojnë në Google me një ide më të qartë të asaj që po kërkojnë.

Para dhe gjatë instalimit

• Rekomandohet shumë që serveri të instalohet sa më "minimal" që të jetë e mundur. Në këtë mënyrë ne parandalojmë që shërbimet të funksionojnë për të cilat as nuk e dimë se janë atje, ose për çfarë shërbejnë. Kjo siguron që të gjitha konfigurimet të funksionojnë vetë.
• Rekomandohet që serveri të mos përdoret si një stacion pune i përditshëm. (Me të cilin po e lexoni këtë postim. Për shembull)
• Shpresojmë që serveri nuk ka një mjedis grafik

Ndarja.

• Rekomandohet që dosjet që përdoren nga përdoruesi si "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /" të caktohen në një ndarje të ndryshme nga ajo e sistemit.
• Dosjet kritike si "/ var / log" (Ku ruhen të gjitha regjistrat e sistemit) vendosen në një ndarje tjetër.
• Tani, në varësi të llojit të serverit, nëse për shembull është një server postë. Dosje "/var/mail dhe / ose /var/spool/mail»Duhet të jetë një ndarje e veçantë.

Fjalëkalimi

Nuk është sekret për askënd që fjalëkalimi i përdoruesve të sistemit dhe / ose llojet e tjera të shërbimeve që i përdorin ato, duhet të jenë të sigurta.

Rekomandimet janë:

• Kjo nuk përmban: Emri juaj, Emri i kafshës tuaj, Emri i të afërmve, Datat e veçanta, Vendet, etj. Në përfundim. Fjalëkalimi nuk duhet të ketë asgjë në lidhje me ju, ose diçka që ju rrethon ose jetën tuaj të përditshme, as nuk duhet të ketë ndonjë gjë që lidhet me vetë llogarinë.  Shembull: twitter # 123.
• Fjalëkalimi gjithashtu duhet të jetë në përputhje me parametrat si: Kombinoje shkronjat e mëdha, të vogla, numrat dhe karakteret speciale.  Shembull: DiAFsd · 354 $ ″

Pas instalimit të sistemit

• Somethingshtë diçka personale. Por më pëlqen të fshij përdoruesin ROOT dhe t'i caktoj të gjitha privilegjet një përdoruesi tjetër, kështu që shmang sulmet ndaj atij përdoruesi. Duke qenë shumë e zakonshme.

• Shtë shumë praktike të regjistroheni në një listë postare ku ata shpallin gabime të sigurisë së shpërndarjes që përdorni. Përveç blogeve, bugzilla ose raste të tjera që mund t'ju paralajmërojnë për Bugs të mundshme.
• Si gjithmonë, rekomandohet një azhurnim i vazhdueshëm i sistemit, si dhe i përbërësve të tij.
• Disa njerëz rekomandojnë gjithashtu sigurimin e Grub ose LILO dhe BIOS-in tonë me një fjalëkalim.
• Ekzistojnë mjete të tilla si "çaj" që lejojnë përdoruesit të detyrojnë të ndryshojnë fjalëkalimin e tyre çdo herë X, përveç kohës minimale që duhet të presin për ta bërë këtë dhe opsioneve të tjera.

Ka shumë mënyra për të siguruar PC-në tonë. Të gjitha më lart ishin para instalimit të një shërbimi. Dhe vetëm përmend disa gjëra.

Ka manuale mjaft të gjera që ia vlen të lexohen. për të mësuar në lidhje me këtë det të pamundur .. Me kalimin e kohës mësoni një gjë ose një tjetër. Dhe do ta kuptoni që gjithnjë mungon .. Gjithmonë ...

Tani le të sigurojmë edhe pak SHRBIMET Rekomandimi im i parë është gjithmonë: «MOS L LENI konfigurimet e shfaqura». Gjithmonë shkoni në skedarin e konfigurimit të shërbimit, lexoni pak për atë që bën çdo parametër dhe mos e lini ashtu siç është instaluar. Gjithmonë sjell probleme me të.

Sidoqoftë:

SSH (/ etj / ssh / sshd_config)

Në SSH ne mund të bëjmë shumë gjëra në mënyrë që të mos jetë aq e lehtë për t'u shkelur.

Për shembull:

-Mos lejoni hyrjen në ROOT (Në rast se nuk e keni ndryshuar atë):

"PermitRootLogin no"

-Mos lejoni që fjalëkalimet të jenë bosh.

"PermitEmptyPasswords no"

-Ndryshoni portin ku ajo dëgjon.

"Port 666oListenAddress 192.168.0.1:666"

-Autorizoni vetëm përdorues të caktuar.

"AllowUsers alex ref me@somewhere"   Me @ diku është për ta detyruar atë përdorues të lidhet gjithmonë nga e njëjta IP.

-Autorizoni grupe specifike.

"AllowGroups wheel admin"

Këshilla

• Quiteshtë mjaft e sigurt dhe gjithashtu pothuajse e detyrueshme për të kafshuar përdoruesit e ssh përmes chroot.
• Ju gjithashtu mund të çaktivizoni transferimin e skedarit.
• Kufizoni numrin e përpjekjeve të dështuara të identifikimit.

Pothuajse mjete thelbësore.

Fail2ban: Ky mjet që është në repo, na lejon të kufizojmë numrin e hyrjeve në shumë lloje të shërbimeve "ftp, ssh, apache ... etj", duke ndaluar IP që tejkalojnë kufirin e përpjekjeve.

Ruajtës: Ato janë mjete që na lejojnë të "ngurtësojmë" ose më saktë ta armatosim instalimin tonë me Firewalls dhe / ose raste të tjera. Midis tyre "kalit dhe Bastille Linux«

Detektorë ndërhyrës: Ka shumë NIDS, HIDS dhe mjete të tjera që na lejojnë të parandalojmë dhe mbrojmë veten nga sulmet, përmes regjistrave dhe alarmeve. Ndër shumë mjete të tjera. Ekziston "OSSEC«

Në përfundim. Ky nuk ishte një manual sigurie, përkundrazi ato ishin një seri artikujsh që duhej të merreshin parasysh për të pasur një server mjaft të sigurt.

Si këshillë personale. Lexoni shumë rreth mënyrës se si të shikoni dhe analizoni LOGS, dhe le të bëhemi disa nerds të Iptables. Për më tepër, sa më shumë Softuer të instalohet në server, aq më i prekshëm bëhet, për shembull një CMS duhet të menaxhohet mirë, duke e azhurnuar dhe duke parë mirë se çfarë lloj shtojcash shtojmë.

Më vonë unë dua të dërgoj një post se si të siguroj diçka specifike. Atje nëse mund të jap më shumë detaje dhe të bëj praktikën.