Skydda din hemserver från externa attacker.

Idag kommer jag att ge dig några tips om hur du har en säkrare hemserver (eller lite större). Men innan de river mig isär levande.

INGENTING ÄR HELT SÄKER

Med denna väldefinierade reservation fortsätter jag.

Jag kommer att gå igenom delar och jag kommer inte att förklara varje process så noggrant. Jag kommer bara att nämna det och klargöra en eller annan liten sak, så att de kan gå till Google med en tydligare uppfattning om vad de letar efter.

Före och under installationen

  • Det rekommenderas starkt att servern installeras så "minimal" som möjligt. På så sätt förhindrar vi att tjänster körs som vi inte ens vet är där eller vad de är till för. Detta säkerställer att alla inställningar körs på egen hand.
  • Det rekommenderas att servern inte används som en daglig arbetsstation. (Med vilken du läser detta inlägg. Till exempel)
  • Jag hoppas att servern inte har en grafisk miljö

Partitionering.

  • Det rekommenderas att de mappar som används av användaren som "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /" tilldelas till en annan partition än systempartitionen.
  • Kritiska mappar som "/ var / log" (där alla systemloggar lagras) läggs på en annan partition.
  • Beroende på servertypen, om det till exempel är en e-postserver. Mapp "/var/mail y / o /var/spool/mail»Bör vara en separat partition.

Lösenord.

Det är ingen hemlighet för någon att lösenordet till systemanvändarna och / eller andra typer av tjänster som använder dem måste vara säkert.

Rekommendationerna är:

  • Det innehåller inte: Ditt namn, ditt husdjurs namn, släktingens namn, speciella datum, platser etc. Sammanfattningsvis. Lösenordet borde inte ha något som är relaterat till dig, eller något som omger dig eller ditt dagliga liv, och det borde inte heller ha något relaterat till själva kontot.  Exempelvis: twitter # 123.
  • Lösenordet måste också överensstämma med parametrar som: Kombinera versaler, gemener, siffror och specialtecken.  Exempelvis: DiAFsd · $ 354 ″

Efter installation av systemet

  • Det är något personligt. Men jag vill ta bort ROOT-användaren och tilldela alla behörigheter till en annan användare, så jag undviker attacker mot den användaren. Att vara väldigt vanlig.
Filen / etc / sudoers måste redigeras. Där lägger vi till användaren att vi vill vara ROOT och sedan tar vi bort vår gamla superanvändare (ROOT)
  • Det är väldigt praktiskt att prenumerera på en e-postlista där de meddelar säkerhetsfel för den distribution du använder. Förutom bloggar, bugzilla eller andra instanser som kan varna dig för eventuella buggar.
  • Som alltid rekommenderas en konstant uppdatering av systemet och dess komponenter.
  • Vissa människor rekommenderar också att säkra Grub eller LILO och vårt BIOS med ett lösenord.
  • Det finns verktyg som "chage" som gör det möjligt för användare att tvingas ändra sitt lösenord varje X, förutom den minimala tid de måste vänta på att göra det och andra alternativ.

Det finns många sätt att säkra vår dator. Allt ovanstående var innan du installerade en tjänst. Och bara nämna några saker.

Det finns ganska omfattande manualer som är värda att läsa. att lära sig om detta enorma hav av möjligheter. Med tiden kommer du att lära dig en eller annan liten sak. Och du kommer att inse att det alltid saknas .. Alltid ...

Låt oss nu se till lite mer TJÄNSTER. Min första rekommendation är alltid: «Lämna inte standardkonfigurationerna». Gå alltid till tjänstekonfigurationsfilen, läs lite om vad varje parameter gör och lämna den inte när den är installerad. Det medför alltid problem med det.

I alla fall:

SSH (/ etc / ssh / sshd_config)

I SSH kan vi göra många saker så att det inte är så lätt att bryta mot.

Till exempel:

-Tillåt inte ROOT-inloggningen (om du inte har ändrat den):

"PermitRootLogin no"

-Låt inte lösenorden vara tomma.

"PermitEmptyPasswords no"

-Ändra porten där den lyssnar.

"Port 666oListenAddress 192.168.0.1:666"

-Autorisera endast vissa användare.

"AllowUsers alex ref me@somewhere"   Me @ någonstans är att tvinga den användaren att alltid ansluta från samma IP.

-Autorisera specifika grupper.

"AllowGroups wheel admin"

Tips.

  • Det är ganska säkert och också nästan obligatoriskt att bura ssh-användare genom chroot.
  • Du kan också inaktivera filöverföring.
  • Begränsa antalet misslyckade inloggningsförsök.

Nästan nödvändiga verktyg.

Fail2ban: Detta verktyg som finns i repos gör det möjligt för oss att begränsa antalet åtkomst till många typer av tjänster "ftp, ssh, apache ... etc", vilket förbjuder ip som överskrider gränsen för försök.

Härdare: De är verktyg som låter oss "härda" eller snarare beväpna vår installation med brandväggar och / eller andra instanser. Bland dem "Harden och Bastille Linux«

Inbrottsdetektorer: Det finns många NIDS, HIDS och andra verktyg som gör att vi kan förhindra och skydda oss från attacker, genom loggar och varningar. Bland många andra verktyg. Existerar "OSSEC«

Sammanfattningsvis. Detta var inte en säkerhetsmanual, utan de var en serie saker att ta hänsyn till för att ha en ganska säker server.

Som personlig rådgivning. Läs mycket om hur du visar och analyserar LOGGAR, och låt oss bli några Iptables-nördar. Dessutom, ju mer programvara som är installerad på servern, desto mer sårbar blir den, till exempel måste ett CMS hanteras väl, uppdatera det och titta på vilken typ av plugins vi lägger till.

Senare vill jag skicka ett inlägg om hur man kan säkerställa något specifikt. Där om jag kan ge mer information och göra övningen.


Innehållet i artikeln följer våra principer om redaktionell etik. Klicka på för att rapportera ett fel här.

8 kommentarer, lämna din

Lämna din kommentar

Din e-postadress kommer inte att publiceras.

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   Elynx sade

    Sparat i favoriter!

    Hälsningar!

  2.   Ivan Barra sade

    Utmärkta TIPS, ja, förra året installerade jag flera "säkerhets- och övervakningssystem i en" Viktig NATIONAL AIRLINE "och jag blev förvånad över att jag fick veta att trots de flera tiotals miljoner dollar i utrustning (SUN Solaris, Red Hat, VM WARE, Windows Server, Oracle DB, etc), NADA-säkerhet.

    Jag använde Nagios, Nagvis, Centreon PNP4Nagios, Nessus och OSSEC, root-lösenordet var allmän kunskap, ja, på ett år rensades allt som var värt att tjäna mycket pengar, men också mycket erfarenhet av denna typ av sak. Det gör aldrig ont att ta hänsyn till allt du just har förklarat.

    Hälsningar.

  3.   Blaire pascal sade

    Trevlig. Direkt till mina favoriter.

  4.   guzman6001 sade

    Bra artikel ... <3

  5.   Juan Ignacio sade

    Che, nästa gång kan du fortsätta förklara hur du använder ossec eller andra verktyg! Mycket bra inlägget! Mer tack!

    1.    Ivan Barra sade

      I februari, för min semester, vill jag samarbeta med Nagios post- och övervakningsverktyg.

      Hälsningar.

  6.   koratsuki sade

    Bra artikel, jag hade planerat att bara reparera min dator för att skriva en mer omfattande tilin, men du kom före mig xD. Bra bidrag!

  7.   Arturo Molina sade

    Jag skulle också vilja se ett inlägg tillägnad intrångsdetektorer. Så här lägger jag till favoriter.