Bảo vệ máy chủ gia đình của bạn khỏi các cuộc tấn công từ bên ngoài.

Hôm nay, tôi sẽ cung cấp cho bạn một số mẹo về cách có một máy chủ gia đình an toàn hơn (hoặc lớn hơn một chút). Nhưng trước khi chúng xé xác tôi.

KHÔNG CÓ GÌ LÀ HOÀN TOÀN AN TOÀN

Với sự đặt trước được xác định rõ ràng này, tôi tiếp tục.

Tôi sẽ đi từng phần và tôi sẽ không giải thích kỹ từng quá trình. Tôi sẽ chỉ đề cập đến nó và làm rõ điều này hay điều khác, vì vậy họ có thể truy cập Google với ý tưởng rõ ràng hơn về những gì họ đang tìm kiếm.

Trước và trong khi cài đặt

• Chúng tôi khuyên bạn nên cài đặt máy chủ ở mức "tối thiểu" nhất có thể. Bằng cách này, chúng tôi ngăn các dịch vụ chạy mà chúng tôi thậm chí không biết là có ở đó hoặc chúng dùng để làm gì. Điều này đảm bảo rằng tất cả các thiết lập sẽ tự chạy.
• Khuyến nghị rằng máy chủ không được sử dụng như một máy trạm hàng ngày. (Với cái mà bạn đang đọc bài đăng này. Ví dụ)
• Tôi hy vọng máy chủ không có môi trường đồ họa

Phân vùng.

• Chúng tôi khuyến nghị rằng các thư mục được người dùng sử dụng như "/ home /" "/ tmp /" "/ var / tmp /" "/ opt /" nên được gán cho một phân vùng khác với hệ thống.
• Các thư mục quan trọng như "/ var / log" (Nơi lưu trữ tất cả nhật ký hệ thống) được đặt trên một phân vùng khác.
• Bây giờ, tùy thuộc vào loại máy chủ, nếu ví dụ đó là máy chủ thư. Thư mục "/var/mail và / hoặc /var/spool/mail»Nên là một phân vùng riêng biệt.

Mật khẩu.

Không có bí mật đối với bất kỳ ai rằng mật khẩu của người dùng hệ thống và / hoặc các loại dịch vụ khác sử dụng chúng phải được bảo mật.

Các khuyến nghị là:

• Điều đó không chứa: Tên của bạn, Tên thú cưng của bạn, Tên của người thân, Ngày đặc biệt, Địa điểm, v.v. Tóm lại là. Mật khẩu không được có bất kỳ thứ gì liên quan đến bạn, hoặc bất kỳ thứ gì xung quanh bạn hoặc cuộc sống hàng ngày của bạn, cũng như không được có bất kỳ thứ gì liên quan đến chính tài khoản.  Ví dụ: twitter # 123.
• Mật khẩu cũng phải tuân thủ các thông số như: Kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt.  Ví dụ: DiAFsd · $ 354 ″

Sau khi cài đặt hệ thống

• Đó là một cái gì đó cá nhân. Nhưng tôi muốn xóa người dùng ROOT và gán tất cả các đặc quyền cho người dùng khác, vì vậy tôi tránh các cuộc tấn công vào người dùng đó. Đang rất phổ biến.

• Rất thực tế là đăng ký vào danh sách gửi thư nơi các lỗi bảo mật của bản phân phối bạn sử dụng được thông báo. Ngoài blog, bugzilla hoặc các trường hợp khác có thể cảnh báo bạn về các Lỗi có thể xảy ra.
• Như mọi khi, nên cập nhật liên tục hệ thống cũng như các thành phần của nó.
• Một số người cũng khuyên bạn nên bảo mật Grub hoặc LILO và BIOS của chúng tôi bằng mật khẩu.
• Có những công cụ như "chage" cho phép người dùng buộc phải thay đổi mật khẩu của họ mỗi X lần, ngoài thời gian tối thiểu họ phải đợi để làm như vậy và các tùy chọn khác.

Có nhiều cách để bảo mật PC của chúng tôi. Tất cả những điều trên là trước khi cài đặt một dịch vụ. Và chỉ đề cập đến một vài điều.

Có sách hướng dẫn khá phong phú rất đáng đọc. để tìm hiểu về biển khả năng bao la này. Theo thời gian, bạn sẽ học được điều này hay điều nhỏ khác. Và bạn sẽ nhận ra rằng nó luôn thiếu .. Luôn luôn ...

Bây giờ hãy đảm bảo nhiều hơn một chút CÁC DỊCH VỤ. Khuyến nghị đầu tiên của tôi luôn là: «KHÔNG ĐỂ LẠI CÁC CẤU HÌNH ĐỊNH NGHĨA». Luôn truy cập tệp cấu hình dịch vụ, đọc một chút về chức năng của từng tham số và không để nguyên khi cài đặt. Nó luôn luôn mang lại vấn đề với nó.

Tuy nhiên:

SSH (/ etc / ssh / sshd_config)

Ở SSH, chúng tôi có thể làm nhiều điều để không dễ vi phạm như vậy.

Ví dụ:

-Không cho phép đăng nhập ROOT (Trong trường hợp bạn chưa thay đổi):

"PermitRootLogin no"

-Không để trống mật khẩu.

"PermitEmptyPasswords no"

-Thay đổi cổng nơi nó lắng nghe.

"Port 666oListenAddress 192.168.0.1:666"

-Chỉ ủy quyền cho một số người dùng nhất định.

"AllowUsers alex ref me@somewhere"   Me @ ở đâu đó là buộc người dùng đó phải luôn kết nối từ cùng một IP.

-Xác định nhóm cụ thể.

"AllowGroups wheel admin"

Lời khuyên.

• Nó khá an toàn và cũng gần như bắt buộc để lồng người dùng ssh thông qua chroot.
• Bạn cũng có thể tắt truyền tệp.
• Giới hạn số lần đăng nhập không thành công.

Công cụ gần như thiết yếu.

Fail2ban: Công cụ này nằm trong repos, cho phép chúng tôi giới hạn số lần truy cập vào nhiều loại dịch vụ "ftp, ssh, apache ... vv", cấm các IP vượt quá giới hạn lần thử.

Chất làm cứng: Chúng là những công cụ cho phép chúng tôi "làm cứng" hay nói đúng hơn là hỗ trợ cài đặt của chúng tôi với Tường lửa và / hoặc các phiên bản khác. Trong số đó "Cứng và Bastille Linux«

Máy phát hiện kẻ xâm nhập: Có rất nhiều NIDS, HIDS và các công cụ khác cho phép chúng ta ngăn chặn và bảo vệ mình khỏi các cuộc tấn công, thông qua nhật ký và cảnh báo. Trong số nhiều công cụ khác. Tồn tại "OSSEC«

Tóm lại là. Đây không phải là một hướng dẫn bảo mật, mà chúng là một loạt các mục cần tính đến để có một máy chủ khá an toàn.

Như lời khuyên cá nhân. Đọc nhiều về cách xem và phân tích LOGS, và chúng ta hãy trở thành một số mọt sách Iptables. Ngoài ra, càng nhiều Phần mềm được cài đặt trên máy chủ, nó càng dễ bị tấn công, ví dụ như CMS phải được quản lý tốt, cập nhật nó và xem xét rất tốt loại plugin chúng ta thêm vào.

Sau này tôi muốn gửi một bài về cách đảm bảo một cái gì đó cụ thể. Ở đó nếu tôi có thể cung cấp thêm thông tin chi tiết và thực hành.