Данас ћу вам дати неколико савета како да имате сигурнији кућни сервер (или мало већи). Али пре него што ме живог растргну.
НИШТА НИЈЕ ПОТПУНО СИГУРНО
Са овим добро дефинисаним упозорењем, настављам.
Идем по деловима и нећу сваки поступак објашњавати врло пажљиво. Само ћу то споменути и разјаснити једно или друго, како би могли да оду на Гоогле са јаснијом представом о томе шта траже.
Пре и током инсталације
- Препоручује се да сервер буде инсталиран што је могуће минималније. На овај начин спречавамо покретање услуга за које ни сами не знамо да ли постоје или за шта служе. Ово осигурава да се сва подешавања извршавају самостално.
- Препоручује се да се сервер не користи као свакодневна радна станица. (Уз који читате овај пост. На пример)
- Надам се да сервер нема графичко окружење
Преграђивање.
- Препоручује се да се фасцикле које корисник користи, попут „/ хоме /“ „/ тмп /„ “/ вар / тмп /„ „/ опт /“, доделе другој партицији од системске.
- Критични директоријуми попут „/ вар / лог“ (тамо где се чувају сви системски дневници) стављају се на другу партицију.
- Сада, у зависности од типа сервера, ако је, на пример, то маил сервер. Фолдер "
/var/mailи / или/var/spool/mail»Треба да буде засебна партиција.
Лозинка.
Никоме није тајна да лозинка корисника система и / или других врста услуга које их користе мора бити сигурна.
Препоруке су:
- То не садржи: Ваше име, име вашег љубимца, име рођака, посебни датуми, места итд. У закључку. Лозинка не би требало да има било шта што је повезано са вама, нити било шта што вас окружује или ваш свакодневни живот, нити треба да има било шта што има везе са самим налогом. Пример: твиттер # 123.
- Лозинка такође мора бити у складу са параметрима као што су: Комбинујте велика, мала слова, бројеве и посебне знакове. Пример: ДиАФсд · $ 354 ″
Након инсталирања система
- То је нешто лично. Али волим да избришем РООТ корисника и доделим све привилегије другом кориснику, па избегавам нападе на тог корисника. Бити врло чест.
- Веома је практично претплатити се на маилинг листу на којој се најављују сигурносне грешке дистрибуције коју користите. Поред блогова, бугзилла или других случајева који вас могу упозорити на могуће грешке.
- Као и увек, препоручује се стално ажурирање система као и његових компоненти.
- Неки људи препоручују и заштиту Груба или ЛИЛО-а и нашег БИОС-а лозинком.
- Постоје алати као што је „цхаге“ који омогућава корисницима да буду принуђени да промене лозинку сваки Кс пут, поред минималног времена које морају да сачекају да то учине и других опција.
Постоји много начина да заштитимо наш рачунар. Све горе наведено било је пре инсталирања услуге. И само спомените неколико ствари.
Постоје прилично опсежни приручници које вреди прочитати. да научите о овом неизмерном мору могућности. Временом ћете научити једну или другу ситницу. И схватићете да то увек недостаје .. Увек ...
Сад осигурајмо мало више УСЛУГЕ. Моја прва препорука је увек: „НЕ НАпуштајте задане конфигурације“. Увек идите у датотеку за конфигурацију услуге, прочитајте мало о томе шта ради сваки параметар и не остављајте га како је инсталиран. Увек са собом носи проблеме.
Међутим:
ССХ (/ етц / ссх / ссхд_цонфиг)
У ССХ можемо учинити много ствари тако да није тако лако прекршити их.
На пример:
-Не дозволи РООТ пријаву (у случају да је ниси променио):
"PermitRootLogin no"
-Не допустите да лозинке буду празне.
"PermitEmptyPasswords no"
-Промените порт на којем слуша.
"Port 666oListenAddress 192.168.0.1:666"
-Ауторизујте само одређене кориснике.
"AllowUsers alex ref me@somewhere" Ме @ негде је присилити тог корисника да се увек повезује са исте ИП адресе.
-Одобри одређене групе.
"AllowGroups wheel admin"
Савети.
- Сасвим је сигурно, а такође је и готово обавезно смештање ссх корисника кроз цхроот.
- Такође можете онемогућити пренос датотека.
- Ограничите број неуспелих покушаја пријаве.
Готово неопходни алати.
Фаил2бан: Овај алат који се налази у репос-у омогућава нам да ограничимо број приступа многим врстама услуга „фтп, ссх, апацхе ... итд.“, Забрањујући ИП адресе које премашују ограничење покушаја.
Учвршћивачи: Они су алати који нам омогућавају да „очврснемо“, односно наоружимо нашу инсталацију заштитним зидовима и / или другим инстанцама. Међу њима "Харден и Бастилле Линук«
Детектори уљеза: Постоје многи НИДС, ХИДС и други алати који нам омогућавају да се спречимо и заштитимо од напада путем дневника и упозорења. Међу многим другим алатима. Постоји "ОССЕЦ«
У закључку. Ово није био сигурносни приручник, већ низ ставки које треба узети у обзир да бисте имали прилично сигуран сервер.
Као лични савет. Прочитајте пуно о томе како прегледати и анализирати ДНЕВНИКЕ, и постанимо неки Иптаблес штребери. Поред тога, што је више софтвера инсталирано на серверу, то постаје рањивији, на пример ЦМС-ом се мора добро управљати, ажурирати га и добро погледати какве додатке додајемо.
Касније желим да пошаљем пост о томе како да осигурам нешто конкретно. Тамо ако могу да дам више детаља и одрадим праксу.
Сачувано у фаворитима!
Поздрав!
Одлични САВЕТИ. Па, прошле године сам инсталирао неколико система за заштиту и надзор у „Мајор НАТИОНАЛ АИРЛИНЕ“ и био сам изненађен сазнањем да упркос неколико десетина милиона долара опреме (СУН Соларис, Ред Хат, ВМ ВАРЕ, Виндовс Сервер , Орацле ДБ, итд.), НАДА сигурност.
Користио сам Нагиос, Нагвис, Центреон ПНП4Нагиос, Нессус и ОССЕЦ, роот лозинка је била јавно позната, па, за годину дана све је то очишћено, што је вредело зарадити много новца, али и пуно искуства у овој врсти ствар. Никада не боли узети у обзир све ово што сте управо објаснили.
Поздрав.
Леп. Директно на моје фаворите.
Одличан чланак ... <3
Че, следећи пут можеш да објасниш како се користи оссец или други алат! Врло добар пост! Више молим те!
У фебруару за свој одмор желим да сарађујем са Нагиос постом и алатима за праћење.
Поздрав.
Добар чланак, нисам планирао ништа друго да поправим свој рачунар да напишем један свеобухватнији тилин, али ви сте ме престигли кД. Добар допринос!
Такође бих волео да видим пост посвећен детекторима упада. Овако га додајем у омиљене.