Skydda din hemserver från externa attacker.

@Jlcmux

5 minuter

Idag ska jag ge dig några tips om hur du kan ha en säkrare hemmaserver (eller lite större). Men innan de sliter sönder mig lever jag.

INGENTING ÄR HELT SÄKERT

Med denna väldefinierade varning fortsätter jag.

Jag kommer att gå efter delar och jag kommer inte att förklara varje process särskilt noggrant. Jag ska bara nämna det och förtydliga några saker så att du kan gå på Google med en tydligare uppfattning om vad du letar efter.

Före och under installationen

  • Det rekommenderas starkt att servern installeras så "minimal" som möjligt. Det är så vi förhindrar att tjänster körs som vi inte ens vet finns där eller vad de är till för. Detta säkerställer att all konfiguration körs på egen hand.
  • Det rekommenderas att servern inte används som en daglig arbetsstation. (som du läser detta inlägg med. Till exempel)
  • Förhoppningsvis har inte servern någon grafisk miljö

Partitionerad.

  • Det rekommenderas att mappar som används av användaren som "/home/" "/tmp/" "/var/tmp/" "/opt/" tilldelas en annan partition än systempartitionen.
  • Kritiska mappar som "/var/log" (där alla systemloggar är lagrade) läggs på en annan partition.
  • Nu, beroende på typ av server, om det till exempel är en e-postserver. Mapp "/var/mail y / o /var/spool/mail» bör vara en separat partition.

Lösenord.

Det är ingen hemlighet för någon att lösenorden för systemanvändare och/eller andra typer av tjänster som använder dem måste vara säkra.

Rekommendationerna är:

  • Det innehåller inte: Ditt namn, namn på ditt husdjur, namn på släktingar, särskilda datum, platser, etc. Sammanfattningsvis. Lösenordet får inte ha något relaterat till dig, eller något som omger dig eller ditt dagliga liv, och inte heller något relaterat till själva kontot.  Exempelvis: twitter#123.
  • Lösenordet måste också överensstämma med parametrar som: Kombinera versaler, gemener, siffror och specialtecken.  Exempelvis: DiaFsd$354″

Efter att systemet är installerat

  • Det är något personligt. Men jag gillar att ta bort ROOT-användaren och tilldela alla privilegier till en annan användare, så jag undviker attacker på den användaren. Att vara väldigt vanligt.
Filen /etc/sudoers måste redigeras. Där lägger vi till användaren som vi vill ska vara ROOT och sedan tar vi bort vår gamla Super User (ROOT)
  • Det är väldigt praktiskt att prenumerera på en e-postlista där säkerhetsbuggar för distributionen du använder meddelas. Förutom bloggar, bugzilla eller andra instanser som kan varna dig för möjliga buggar.
  • Som alltid rekommenderas en ständig uppdatering av såväl systemet som dess komponenter.
  • Vissa rekommenderar också att säkra Grub eller LILO och vårt BIOS med ett lösenord.
  • Det finns verktyg som "chage" som låter dig tvinga användare att byta lösenord varje X gång, förutom den minsta tid de måste vänta för att göra det och andra alternativ.

Det finns många sätt att säkra vår PC. Allt ovanstående var innan du installerade en tjänst. Och bara nämna några saker.

Det finns ganska omfattande manualer som är värda att läsa. att lära dig om detta enorma hav av möjligheter. Med tiden lär du dig en eller två små saker. Och du kommer att inse att det alltid saknas... Alltid...

Nu ska vi se till lite mer TJÄNSTER. Min första rekommendation är alltid: "LÄMNA INTE STANDARDINSTÄLLNINGARNA". Gå alltid in i tjänstens konfigurationsfil, läs lite om vad varje parameter gör och lämna den inte som den är installerad. Det för alltid problem med sig.

I alla fall:

SSH (/etc/ssh/sshd_config)

I SSH kan vi göra många saker så att det inte är så lätt att bryta.

Till exempel:

- Tillåt inte ROOT-inloggning (om du inte har ändrat det):

"PermitRootLogin no"

-Låt inte lösenord vara tomma.

"PermitEmptyPasswords no"

-Ändra porten där den lyssnar.

"Port 666oListenAddress 192.168.0.1:666"

-Auktorisera endast vissa användare.

"AllowUsers alex ref me@somewhere"   Me@någonstans är att tvinga den användaren att alltid ansluta från samma ip.

-Auktorisera specifika grupper.

"AllowGroups wheel admin"

Tips.

  • Det är ganska säkert och dessutom nästan obligatoriskt att chroot ssh-användare.
  • Du kan också inaktivera filöverföring.
  • Begränsa antalet misslyckade inloggningsförsök.

Nästan viktiga verktyg.

Fail2ban: Detta verktyg, som finns i repos, tillåter oss att begränsa antalet åtkomster till många typer av tjänster "ftp, ssh, apache... etc" genom att förbjuda IP:er som överskrider gränsen för försök.

Härdare: De är verktyg som gör att vi kan "härda" eller snarare bygga vår installation med brandväggar och/eller andra instanser. Bland dem "Harden och Bastille Linux«

Intrångsdetektorer: Det finns många NIDS, HIDS och andra verktyg som gör att vi kan förhindra och skydda oss från attacker, genom loggar och varningar. Bland många andra verktyg. Existerar "OSSEC«

Sammanfattningsvis. Detta var inte en säkerhetsmanual, utan snarare en serie saker att ta hänsyn till för att ha en måttligt säker server.

Som personlig rådgivning. Läs mycket om att visa och analysera LOGGAR, OCH låt oss bli iptables-nördar. Dessutom, ju mer programvara som installeras på servern, desto mer sårbar blir den, till exempel måste ett CMS hanteras väl, uppdatera det och titta noga på vilken typ av plugins vi lägger till.

Senare vill jag skicka ett inlägg om hur man säkrar något specifikt. Där om jag kan ge mer detaljer och göra övningen.


Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   elynx sade
    sedan 11 år

    Sparad i favoriter!

    Hälsningar!

    Svara Elynx
  2.   Ivan Barra sade
    sedan 11 år

    Bra TIPS, förra året installerade jag flera säkerhets- och övervakningssystem på ett "Major NATIONAL AIRLINE" och blev förvånad över att höra att trots flera tiotals miljoner dollars utrustning (SUN Solaris, Red Hat, VM WARE, Windows Server, Oracle DB, etc), säkerhet INGENTING.

    Jag använde Nagios, Nagvis, Centreon PNP4Nagios, Nessus och OSSEC, root-lösenordet var allmänt känt, ja, på ett år rensades allt upp, vilket var värt att tjäna mycket pengar, men förutom det, mycket erfarenhet av sånt här. Det skadar aldrig att ta hänsyn till allt du just har förklarat.

    Hälsningar.

    Svara på Iván Barra
  3.   Blaire pascal sade
    sedan 11 år

    Trevlig. Direkt till mina favoriter.

    Svar till Blaire Pascal
  4.   guzman6001 sade
    sedan 11 år

    Bra artikel... <3

    Svara på guzman6001
  5.   Juan Ignacio sade
    sedan 11 år

    Che, nästa gång kan du fortsätta förklara hur du använder ossec eller andra verktyg! Mycket bra inlägg! Mer tack!

    Svar till Juan Ignacio
    1.    Ivan Barra sade
      sedan 11 år

      I februari, för min semester, vill jag samarbeta med ett Nagios-inlägg och övervakningsverktyg.

      Hälsningar.

      Svara på Iván Barra
  6.   koratsuki sade
    sedan 11 år

    Bra artikel, jag hade planerat att bara reparera min dator för att skriva en lite mer omfattande, men du slog mig till det xD. Bra bidrag!

    Svara Koratsuki
  7.   Arturo Molina sade
    sedan 11 år

    Jag skulle också vilja se ett inlägg dedikerat till intrångsdetektorer. Jag lägger till den här till favoriter ändå.

    Svar på Arturo Molina