今天,我將為您提供一些有關如何擁有更安全(或更大一點)的家用服務器的提示。 但是在他們把我撕成碎片之前。
完全安全
有了這個定義明確的保留,我繼續。
我將分部分進行,並且我不會非常仔細地解釋每個過程。 我只會提到它並澄清一件事或另一件事,以便他們可以更清晰地了解他們要尋找的東西去Google。
安裝之前和期間
- 強烈建議將服務器安裝為“最小”。 這樣一來,我們就可以阻止甚至根本不存在的服務或服務的目的運行服務。 這樣可以確保所有設置都可以自行運行。
- 建議不要將服務器用作日常工作站。 (例如您正在閱讀的文章。)
- 我希望服務器沒有圖形環境
分區。
- 建議將用戶使用的文件夾(例如“ / home /”“ / tmp /”“ / var / tmp /”“ / opt /”)分配給與系統分區不同的分區。
- 諸如“ / var / log”(存儲所有系統日誌的位置)之類的關鍵文件夾放在另一個分區上。
- 現在,取決於服務器的類型,例如,如果它是郵件服務器。 文件夾“
/var/mail
和/或/var/spool/mail
»應該是一個單獨的分區。
密碼。
對於任何人來說,系統用戶和/或使用它們的其他類型的服務的密碼都必須是安全的不是什麼秘密。
建議是:
- 不包含: 您的姓名,您的寵物的姓名,親戚的姓名,特殊日期,地點等。 結論。 密碼不應與您有關,或與您或您的日常生活有關,也不應與帳戶本身有關。 例如: 推特#123。
- 密碼還必須符合以下參數:組合大寫,小寫,數字和特殊字符。 例如: DiAFsd·$ 354''
安裝系統後
- 這是個人的東西。 但是我喜歡刪除ROOT用戶並將所有特權分配給另一個用戶,因此避免了對該用戶的攻擊。 很常見。
- 訂閱郵件列表是非常實用的,在那裡他們宣布您使用的發行版的安全性錯誤。 除了博客,bugzilla或其他可以警告您可能存在錯誤的實例。
- 與往常一樣,建議對系統及其組件進行不斷更新。
- 有人建議還使用密碼保護Grub或LILO和我們的BIOS。
- 除“他們必須等待的最短時間”和其他選項外,還有諸如“查冊”之類的工具,這些工具允許用戶每X次更改一次密碼。
有很多方法可以保護我們的PC。 以上所有都是在安裝服務之前。 再說幾件事。
有相當多的手冊值得閱讀。 了解這片巨大的可能性..隨著時間的流逝,您會學到一件事或另一件事。 並且您將意識到它始終不存在..始終...
現在讓我們確保更多 服務。 我的第一個建議始終是: «不要保留默認配置»。 始終轉到服務配置文件,仔細閱讀每個參數的功能,不要在安裝時保留它。 它總是帶來問題。
然而:
SSH(/ etc / ssh / sshd_config)
在SSH中,我們可以做很多事情,這樣就不會輕易違反它。
例如:
-不允許ROOT登錄(如果您尚未更改):
"PermitRootLogin no"
-不要讓密碼為空。
"PermitEmptyPasswords no"
-更改監聽端口。
"Port 666oListenAddress 192.168.0.1:666"
-僅授權某些用戶。
"AllowUsers alex ref me@somewhere"
我@某處是強制該用戶始終從同一IP連接。
-授權特定的組。
"AllowGroups wheel admin"
提示。
- 通過chroot鎖定ssh用戶是非常安全的,並且幾乎是強制性的。
- 您也可以禁用文件傳輸。
- 限制登錄嘗試失敗的次數。
幾乎必不可少的工具。
Fail2ban: 這個位於回購協議中的工具使我們能夠限制對許多類型的服務(“ ftp,ssh,apache ...等”)的訪問次數,從而禁止超過嘗試次數限制的IP。
硬化劑: 它們是使我們能夠“加固”或通過防火牆和/或其他實例武裝安裝的工具。 其中 ”硬化 和巴士底獄Linux«
入侵者探測器: 有許多NIDS,HIDS和其他工具,可讓我們通過日誌和警報來預防和保護自己免受攻擊。 在許多其他工具中。 存在“OSSEC«
結論。 這不是安全手冊,而是擁有一系列相當安全的服務器時需要考慮的一系列事項。
作為個人建議。 閱讀有關如何查看和分析LOGS的很多知識,讓我們成為一些Iptables的書呆子。 另外,在服務器上安裝的軟件越多,它就越容易受到攻擊,例如,必須對CMS進行良好的管理,對其進行更新並很好地查看我們添加的插件類型。
稍後,我想發送一篇有關如何確保特定內容的文章。 如果可以,我可以提供更多詳細信息並進行練習。
保存在收藏夾中!
的問候!
出色的TIPS,去年,我在“重要的國家航空”中安裝了多個安全和監視系統,但我驚訝地發現,儘管設備價值幾千萬美元(SUN Solaris,Red Hat,VM WARE ,Windows Server,Oracle DB等),沒有安全性。
我使用了Nagios,Nagvis,Centreon PNP4Nagios,Nessus和OSSEC,root密碼是公共知識,在一年中,所有這些東西都被清理了,這值得賺很多錢,但是在這種事情。 考慮到您剛才解釋的所有內容,這從來沒有什麼壞處。
問候。
真好直接到我的收藏夾。
好文章... <3
切爾,下次您可以繼續說明如何使用ossec或其他工具! 很好的帖子! 更多信息,請!
在XNUMX月份,為了度假,我想與Nagios帖子和監視工具合作。
問候。
好文章,我原本打算修理我的PC來編寫一個更全面的tilin,但是您在xD方面領先於我。 貢獻良多!
我還希望看到一個專門介紹入侵檢測器的帖子。 這樣,我將其添加到收藏夾。