保护您的家庭服务器免受外部攻击。

今天，我将为您提供一些有关如何拥有更安全（或更大一点）的家用服务器的提示。 但是在他们把我撕成碎片之前。

完全安全

有了这个明确的警告，我继续。

我将分部分进行，并且我不会非常仔细地解释每个过程。 我只会提及它并澄清一件事或另一件事，以便他们可以更清晰地了解他们要寻找的东西去Google。

安装之前和期间

• 强烈建议将服务器安装为“最小”。 这样，我们可以阻止甚至根本不存在的服务或服务的目的运行。 这样可以确保所有设置都可以自行运行。
• 建议不要将服务器用作日常工作站。 （例如您正在阅读的文章。）
• 希望服务器没有图形环境

分区。

• 建议将用户使用的文件夹（例如“ / home /”“ / tmp /”“ / var / tmp /”“ / opt /”）分配给与系统分区不同的分区。
• 诸如“ / var / log”（存储所有系统日志的位置）之类的关键文件夹放在另一个分区上。
• 现在，取决于服务器的类型，例如，如果它是邮件服务器。 文件夹“/var/mail 和/或 /var/spool/mail»应该是一个单独的分区。

密码。

对于任何人来说，系统用户和/或使用它们的其他类型的服务的密码都必须是安全的不是什么秘密。

建议是：

• 不包含： 您的姓名，您的宠物的姓名，亲戚的姓名，特殊日期，地点等。 结论。 密码不应与您有关，或与您或您的日常生活有关，也不得与帐户本身有关。  例如： 推特＃123。
• 密码还必须符合以下参数：组合大写，小写，数字和特殊字符。  例如： DiAFsd·$ 354''

安装系统后

• 这是个人的东西。 但是我喜欢删除ROOT用户并将所有特权分配给另一个用户，因此避免了对该用户的攻击。 很常见。

• 订阅邮件列表是非常实用的，在该邮件列表中会声明您使用的发行版的安全性错误。 除了博客，bugzilla或其他可以警告您可能存在错误的实例。
• 与往常一样，建议对系统及其组件进行不断更新。
• 有人建议还使用密码保护Grub或LILO和我们的BIOS。
• 除“他们必须等待的最短时间”和其他选项外，还有一些工具，例如“查册”，可以使用户每X次被迫更改密码。

有很多方法可以保护我们的PC。 以上所有都是在安装服务之前。 再说几件事。

有相当多的手册值得阅读。 了解这种巨大的可能性..随着时间的流逝，您会学到一件事或另一件事。 并且您将意识到它始终不存在..始终...

现在让我们确保更多 服务。 我的第一个建议始终是： «不要保留默认配置»。 始终转到服务配置文件，仔细阅读每个参数的功能，不要将其保留为已安装状态。 它总是带来问题。

然而：

SSH（/ etc / ssh / sshd_config）

在SSH中，我们可以做很多事情，这样就不会轻易违反它。

例如：

-不允许ROOT登录（如果您尚未更改）：

"PermitRootLogin no"

-不要让密码为空。

"PermitEmptyPasswords no"

-更改监听端口。

"Port 666oListenAddress 192.168.0.1:666"

-仅授权某些用户。

"AllowUsers alex ref me@somewhere"   我@某处是强制该用户始终从同一IP连接。

-授权特定的组。

"AllowGroups wheel admin"

提示。

• 通过chroot限制ssh用户是非常安全的，而且几乎是强制性的。
• 您也可以禁用文件传输。
• 限制登录尝试失败的次数。

几乎必不可少的工具。

Fail2ban： 此工具位于回购协议中，可让我们限制对许多类型的服务（“ ftp，ssh，apache ...等”）的访问次数，从而禁止超出尝试次数限制的ip。

硬化剂： 它们是使我们能够“加固”或通过防火墙和/或其他实例武装安装的工具。 其中 ”硬化 和巴士底狱Linux«

入侵探测器： 有许多NIDS，HIDS和其他工具，可让我们通过日志和警报来预防和保护自己免受攻击。 在许多其他工具中。 存在“OSSEC«

结论。 这不是安全手册，而是拥有相当安全的服务器时要考虑的一系列事项。

作为个人建议。 阅读了大量有关如何查看和分析LOGS的内容，让我们成为一些Iptables的书呆子。 此外，服务器上安装的软件越多，它就越容易受到攻击，例如，必须对CMS进行良好的管理，更新并仔细查看我们添加的插件类型。

稍后我想发一篇关于如何确保特定内容的帖子。 如果可以，我可以提供更多详细信息并进行练习。