Ngayon, bibigyan kita ng ilang mga tip sa kung paano magkaroon ng isang mas ligtas na server ng bahay (o medyo mas malaki). Ngunit bago nila ako guluhin nang buhay.
WALA NG LIGTAS NA LIGTAS
Sa mahusay na natukoy na pagpapareserba na ito, nagpatuloy ako.
Pupunta ako sa mga bahagi at hindi ko ipapaliwanag nang maingat ang bawat proseso. Babanggitin ko lang ito at lilinawin ang isang bagay o iba pa, upang makapunta sila sa Google na may isang mas malinaw na ideya ng kung ano ang kanilang hinahanap.
Bago at sa panahon ng pag-install
- Masidhing inirerekomenda na mai-install ang server bilang "minimal" hangga't maaari. Sa ganitong paraan pinipigilan namin ang pagpapatakbo ng mga serbisyo na hindi namin alam na nandiyan o para saan sila. Tinitiyak nito na tatakbo nang mag-isa ang lahat ng pag-setup.
- Inirerekumenda na ang server ay hindi ginagamit bilang isang araw-araw na workstation. (Kung saan binabasa mo ang post na ito. Halimbawa)
- Inaasahan kong ang server ay walang isang graphic na kapaligiran
Naghahati.
- Inirerekumenda na ang mga folder na ginagamit ng gumagamit tulad ng "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /" ay itatalaga sa ibang pagkahati kaysa sa system na isa.
- Ang mga kritikal na folder tulad ng "/ var / log" (Kung saan nakaimbak ang lahat ng mga tala ng system) ay inilalagay sa ibang pagkahati.
- Ngayon, depende sa uri ng server, kung halimbawa ito ay isang mail server. Folder "
/var/mailat / o/var/spool/mail»Dapat ay isang hiwalay na pagkahati.
Password
Hindi lihim sa sinuman na ang password ng mga gumagamit ng system at / o iba pang mga uri ng serbisyo na ginagamit ang mga ito ay dapat na ligtas.
Ang mga rekomendasyon ay:
- Hindi naglalaman iyon: Ang iyong pangalan, Pangalan ng iyong alaga, Pangalan ng mga kamag-anak, Espesyal na mga petsa, Lugar, atbp. Bilang pagtatapos. Ang password ay hindi dapat magkaroon ng anumang nauugnay sa iyo, o anumang bagay na pumapaligid sa iyo o sa iyong pang-araw-araw na buhay, o dapat magkaroon ng anumang nauugnay sa mismong account. Halimbawa: kaba # 123.
- Dapat ding sumunod ang password sa mga parameter tulad ng: Pagsamahin ang uppercase, maliit na titik, mga numero at mga espesyal na character. Halimbawa: DiAFsd · $ 354 ″
Matapos mai-install ang system
- Ito ay isang bagay na personal. Ngunit nais kong tanggalin ang gumagamit ng ROOT at italaga ang lahat ng mga pribilehiyo sa ibang gumagamit, kaya iniiwasan ko ang mga pag-atake sa gumagamit na iyon. Ang pagiging napaka-pangkaraniwan.
- Napaka praktikal na mag-subscribe sa isang mailing list kung saan inihayag ang mga security bug ng pamamahagi na ginagamit mo. Bilang karagdagan sa mga blog, bugzilla o iba pang mga pagkakataon na maaaring balaan ka sa mga posibleng Bug.
- Gaya ng lagi, inirerekumenda ang isang pare-pareho na pag-update ng system pati na rin ang mga bahagi nito.
- Inirerekumenda rin ng ilang tao ang pag-secure ng Grub o LILO at ng aming BIOS gamit ang isang password.
- Mayroong mga tool tulad ng "chage" na pinapayagan ang mga gumagamit na mapilitang baguhin ang kanilang password tuwing X time, bilang karagdagan sa minimum na oras na dapat nilang maghintay na gawin ito at iba pang mga pagpipilian.
Maraming mga paraan upang ma-secure ang aming PC. Ang lahat ng nasa itaas ay bago mag-install ng isang serbisyo. At banggitin lamang ang ilang mga bagay.
Mayroong lubos na malawak na mga manwal na sulit basahin. upang malaman ang tungkol sa napakalawak na dagat ng mga posibilidad .. Sa paglipas ng panahon natutunan mo ang isang bagay o iba pa. At malalaman mong palaging nawawala ito .. Palagi ...
Ngayon siguraduhin natin nang kaunti pa SERBISYO. Ang una kong rekomendasyon ay palaging: «HUWAG IWAN ANG DEFAULT CONFIGURATIONS». Palaging pumunta sa file ng pagsasaayos ng serbisyo, basahin nang kaunti tungkol sa kung ano ang ginagawa ng bawat parameter at huwag iwanan ito habang naka-install ito. Palagi itong nagdadala ng mga problema dito.
Gayunpaman:
SSH (/ etc / ssh / sshd_config)
Sa SSH magagawa natin ang maraming bagay upang hindi ganoong kadali na lumabag.
Por ejemplo:
-Huwag payagan ang pag-login sa ROOT (Kung sakaling hindi mo ito binago):
"PermitRootLogin no"
-Huwag hayaan ang mga password na blangko.
"PermitEmptyPasswords no"
-Baguhin ang port kung saan ito nakikinig.
"Port 666oListenAddress 192.168.0.1:666"
-Ang pahintulot lamang sa ilang mga gumagamit.
"AllowUsers alex ref me@somewhere" Ang me @ sa kung saan ay pilitin ang gumagamit na laging kumonekta mula sa parehong IP.
-Ang pahintulutan ang mga partikular na pangkat.
"AllowGroups wheel admin"
Mga Tip
- Ito ay lubos na ligtas at din halos sapilitan upang hawakan ang mga gumagamit ng ssh sa pamamagitan ng chroot.
- Maaari mo ring hindi paganahin ang paglipat ng file.
- Limitahan ang bilang ng mga nabigong pagtatangka sa pag-login.
Halos mahahalagang tool.
Fail2ban: Ang tool na ito na nasa repos, ay nagbibigay-daan sa amin upang limitahan ang bilang ng mga pag-access sa maraming uri ng mga serbisyo na "ftp, ssh, apache ... atbp", na ipinagbabawal ang ip na lumampas sa limitasyon ng mga pagtatangka.
Hardeners: Ang mga ito ay mga tool na nagpapahintulot sa amin na "tumigas" o sa sandata ang pag-install ng aming mga Firewall at / o iba pang mga pagkakataon. Sa kanila "Harden at Bastille Linux«
Mga detektor ng panghihimasok: Maraming mga NID, HID at iba pang mga tool na nagbibigay-daan sa amin upang maiwasan at protektahan ang aming sarili mula sa mga pag-atake, sa pamamagitan ng mga troso at alerto. Kabilang sa maraming iba pang mga tool. Umiiral "OSSEC«
Bilang pagtatapos. Hindi ito isang manwal sa seguridad, sa halip sila ay isang serye ng mga item na isasaalang-alang upang magkaroon ng isang medyo ligtas na server.
Bilang personal na payo. Magbasa ng maraming tungkol sa kung paano tingnan at pag-aralan ang LOGS, at maging ilang mga Iptable nerd. Bilang karagdagan, mas maraming naka-install na Software sa server, mas mahina itong maging, halimbawa isang CMS ay dapat na pamahalaan nang maayos, ina-update ito at tinitingnan nang mabuti kung anong uri ng mga plugin ang idinagdag namin.
Mamaya nais kong magpadala ng isang post kung paano masiguro ang isang tukoy na bagay. Doon kung makapagbibigay ako ng maraming detalye at gawin ang pagsasanay.
Nai-save sa mga paborito!
Pagbati!
Mahusay na TIP, well, noong nakaraang taon, nag-install ako sa isang "Mahalagang PAMBANSANG AIRLINE" maraming mga sistema ng seguridad at pagsubaybay at nagulat ako nang malaman na sa kabila ng maraming sampu-sampung milyong dolyar na kagamitan (SUN Solaris, Red Hat, VM WARE, Windows Server , Oracle DB, atbp), security WALA.
Ginamit ko ang Nagios, Nagvis, Centeron PNP4Nagios, Nessus at OSSEC, ang root password ay kaalaman sa publiko, mabuti, sa isang taon ang lahat ng nalinis, na kung saan ay nagkakahalaga ng kumita ng maraming pera, ngunit din ng maraming karanasan sa ganitong uri ng bagay Hindi kailanman masakit na isaalang-alang ang lahat ng iyong ipinaliwanag.
Pagbati.
Ang ganda Direkta sa aking mga paborito.
Mahusay na artikulo ... <3
Che, sa susunod ay maaari mong ipagpatuloy ang pagpapaliwanag kung paano gamitin ang ossec o iba pang mga tool! Napakahusay ng post! Dagdag pa, mangyaring!
Noong Pebrero, para sa aking bakasyon, nais kong makipagtulungan sa isang post ng Nagios at mga tool sa pagsubaybay.
Pagbati.
Magandang artikulo, binalak ko lamang na ayusin ang aking PC upang magsulat ng isa sa isang mas malawak na tilin, ngunit naunahan mo ako xD. Magandang kontribusyon!
Nais ko ring makita ang isang post na nakatuon sa mga panghihimasok na detector. Tulad nito idinagdag ko ito sa mga paborito.