Ev sunucunuzu dış saldırılardan koruyun.

@Jlcmux

5 minutos

Bugün size nasıl daha güvenli bir ev sunucusuna (veya biraz daha büyük) sahip olunacağına dair bazı ipuçları vereceğim. Ama beni canlı canlı parçalamadan önce.

HİÇBİR ŞEY TAMAMEN GÜVENLİ DEĞİLDİR

Bu iyi tanımlanmış rezervasyonla devam ediyorum.

Parçalar halinde gideceğim ve her süreci çok dikkatli bir şekilde açıklamayacağım. Sadece bundan bahsedeceğim ve bir veya başka küçük şeyi netleştireceğim, böylece ne aradıkları konusunda daha net bir fikirle Google'a gidebilirler.

Kurulumdan önce ve kurulum sırasında

  • Sunucunun olabildiğince "minimum" olarak kurulması önemle tavsiye edilir. Bu şekilde, orada olduğunu veya ne işe yaradığını bile bilmediğimiz hizmetlerin çalışmasını engelleriz. Bu, tüm kurulumun kendi başınıza çalışmasını sağlar.
  • Sunucunun günlük bir iş istasyonu olarak kullanılmaması önerilir. (Bu yazıyı onunla birlikte okuyorsunuz. Örneğin)
  • Umarım sunucunun grafik ortamı yoktur

Bölümleme.

  • Kullanıcı tarafından kullanılan "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /" gibi klasörlerin sistemdekinden farklı bir bölüme atanması önerilir.
  • "/ Var / log" (Tüm sistem günlüklerinin depolandığı yer) gibi kritik klasörler farklı bir bölüme yerleştirilir.
  • Şimdi, sunucunun türüne bağlı olarak, örneğin bir posta sunucusuysa. Klasör "/var/mail ve / veya /var/spool/mail»Ayrı bir bölüm olmalıdır.

Parola.

Sistem kullanıcılarının ve / veya bunları kullanan diğer hizmet türlerinin şifrelerinin güvenli olması kimsenin sırrı değildir.

Öneriler:

  • İçermez: Adınız, Evcil hayvanınızın adı, Akrabaların adı, Özel tarihler, Yerler vb. Sonuç olarak. Parola sizinle veya sizi veya günlük yaşamınızı çevreleyen herhangi bir şey içermemeli ve hesabın kendisiyle ilgili hiçbir şey içermemelidir.  Örnek: Twitter # 123.
  • Parola ayrıca aşağıdaki gibi parametrelere de uymalıdır: Büyük harf, küçük harf, sayılar ve özel karakterleri birleştirin.  Örnek: DiAFsd · 354 ABD doları ″

Sistemi kurduktan sonra

  • Kişisel bir şey. Ancak ROOT kullanıcısını silmeyi ve tüm ayrıcalıkları başka bir kullanıcıya atamayı seviyorum, böylece o kullanıcıya yönelik saldırılardan kaçınıyorum. Çok yaygın.
/ Etc / sudoers dosyası düzenlenmelidir. Oraya ROOT olmasını istediğimiz kullanıcıyı ekliyoruz ve ardından eski Süper Kullanıcımızı (ROOT) siliyoruz.
  • Kullandığınız dağıtımın güvenlik hatalarının duyurulduğu bir mail listesine üye olmak çok pratiktir. Bloglar, bugzilla veya sizi olası Hatalar konusunda uyarabilecek diğer örneklere ek olarak.
  • Her zaman olduğu gibi, sistemin ve bileşenlerinin sürekli olarak güncellenmesi önerilir.
  • Bazı insanlar Grub veya LILO'yu ve BIOS'umuzu bir parola ile korumayı da tavsiye ediyor.
  • Kullanıcıların her X seferinde parolalarını değiştirmeye zorlanmalarına izin veren "chage" gibi araçlar vardır, bunu yapmak için minimum süre beklemeleri ve diğer seçeneklere ek olarak.

Bilgisayarımızı korumanın birçok yolu vardır. Yukarıdakilerin tümü bir hizmet yüklemeden önceydi. Ve sadece birkaç şeyden bahsedin.

Okumaya değer oldukça kapsamlı kılavuzlar var. Bu uçsuz bucaksız olasılıklar denizi hakkında bilgi edinmek için… Zamanla şu ya da bu küçük şeyi öğreneceksiniz. Ve her zaman eksik olduğunu fark edeceksiniz .. Her zaman ...

Şimdi biraz daha emin olalım HİZMETLER. İlk tavsiyem her zaman: «VARSAYILAN YAPILANDIRMALARI BIRAKMAYIN». Her zaman servis yapılandırma dosyasına gidin, her parametrenin ne yaptığını biraz okuyun ve kurulduğu gibi bırakmayın. Onunla her zaman sorunları da beraberinde getirir.

Ancak:

SSH (/ etc / ssh / sshd_config)

SSH'de ihlal etmenin o kadar kolay olmaması için pek çok şey yapabiliriz.

Örnek:

-KÖK girişine izin vermeyin (Değiştirmediyseniz):

"PermitRootLogin no"

-Parolaların boş kalmasına izin vermeyin.

"PermitEmptyPasswords no"

-Dinlediği portu değiştirin.

"Port 666oListenAddress 192.168.0.1:666"

-Yalnızca belirli kullanıcıları yetkilendirin.

"AllowUsers alex ref me@somewhere"   Me @ bir yerlerde, o kullanıcıyı her zaman aynı IP'den bağlanmaya zorlamaktır.

-Belirli grupları yetkilendirin.

"AllowGroups wheel admin"

İpuçları.

  • Ssh kullanıcılarını chroot aracılığıyla kafeslemek oldukça güvenlidir ve neredeyse zorunludur.
  • Dosya aktarımını da devre dışı bırakabilirsiniz.
  • Başarısız oturum açma girişimlerinin sayısını sınırlayın.

Neredeyse gerekli araçlar.

Başarısız2ban: Depolarda bulunan bu araç, girişimlerin sınırını aşan ip'i yasaklayarak, "ftp, ssh, apache ... vb" birçok hizmet türüne erişim sayısını sınırlamamıza izin verir.

Sertleştiriciler: Bunlar, kurulumumuzu Güvenlik Duvarları ve / veya diğer örneklerle "sağlamlaştırmamıza" veya daha doğrusu silahlandırmamıza izin veren araçlardır. Onların arasında "Sertleştirmek ve Bastille Linux«

İzinsiz giriş dedektörleri: Kayıtlar ve uyarılar yoluyla kendimizi saldırılardan korumamıza ve korumamıza izin veren birçok NIDS, HIDS ve diğer araçlar vardır. Diğer birçok araç arasında. Var "OSSEC«

Sonuç olarak. Bu bir güvenlik kılavuzu değildi, daha ziyade oldukça güvenli bir sunucuya sahip olmak için dikkate alınması gereken bir dizi maddeydi.

Kişisel tavsiye olarak. LOGS'u nasıl görüntüleyeceğiniz ve analiz edeceğiniz hakkında çok şey okuyun ve hadi bazı Iptables meraklıları olalım. Ek olarak, Yazılım sunucuya ne kadar çok yüklenirse, o kadar savunmasız hale gelir, örneğin bir CMS iyi yönetilmeli, güncellenmeli ve ne tür eklentiler eklediğimiz çok iyi görünmelidir.

Daha sonra, belirli bir şeyin nasıl sağlanacağına dair bir gönderi göndermek istiyorum. Orada daha fazla ayrıntı verebilir ve alıştırma yapabilirsem.


Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar ile işaretlenmiştir *

*

*

  1. Verilerden sorumlu: Miguel Ángel Gatón
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.

  1.   yunus dijo
    önce 11 yıl

    Favorilerinize kaydedildi!

    Selamlar!

    Elynx'e yanıtla
  2.   Ivan Barra dijo
    önce 11 yıl

    Mükemmel İPUÇLARI, geçen yıl bir "Önemli ULUSAL HAVA YOLU" na birkaç güvenlik ve izleme sistemi kurdum ve on milyonlarca dolarlık ekipmana (SUN Solaris, Red Hat, VM WARE, Windows Sunucu, Oracle DB, vb.), NADA güvenliği.

    Nagios, Nagvis, Centreon PNP4Nagios, Nessus ve OSSEC kullandım, kök şifre halka açık bilgiydi, bir yıl içinde her şey temizlendi, bu çok para kazanmaya değerdi, ama aynı zamanda bu tür şey. Az önce açıkladığınız her şeyi dikkate almak asla zarar vermez.

    Selamlar.

    Iván Barra için yanıt
  3.   Blaire pascal dijo
    önce 11 yıl

    Güzel. Favorilerime doğrudan.

    Blaire Pascal için yanıt
  4.   guzman6001 dijo
    önce 11 yıl

    Harika makale ... <3

    Guzman6001 için yanıt
  5.   Juan Ignacio dijo
    önce 11 yıl

    Che, bir dahaki sefere ossec veya diğer araçları nasıl kullanacağınızı açıklamaya devam edebilirsiniz! Yazı çok iyi! Daha fazla lütfen!

    Juan Ignacio için yanıt
    1.    Ivan Barra dijo
      önce 11 yıl

      Şubat ayında tatilim için bir Nagios postası ve izleme araçlarıyla işbirliği yapmak istiyorum.

      Selamlar.

      Iván Barra için yanıt
  6.   koratsuki dijo
    önce 11 yıl

    İyi makale, daha kapsamlı bir tilin yazmak için bilgisayarımı onarmak için başka hiçbir şey planlamamıştım, ancak önümde xD var. İyi katkı!

    Koratsuki için yanıt
  7.   arturo molina dijo
    önce 11 yıl

    Ayrıca izinsiz giriş dedektörlerine adanmış bir gönderi görmek istiyorum. Bunun gibi favorilere ekliyorum.

    Arturo Molina için yanıt