保護您的家庭服務器免受外部攻擊。

今天，我將為您提供一些有關如何擁有更安全（或更大一點）的家用服務器的提示。 但是在他們把我撕成碎片之前。

完全安全

有了這個定義明確的保留，我繼續。

我將分部分進行，並且我不會非常仔細地解釋每個過程。 我只會提到它並澄清一件事或另一件事，以便他們可以更清晰地了解他們要尋找的東西去Google。

安裝之前和期間

• 強烈建議將服務器安裝為“最小”。 這樣一來，我們就可以阻止甚至根本不存在的服務或服務的目的運行服務。 這樣可以確保所有設置都可以自行運行。
• 建議不要將服務器用作日常工作站。 （例如您正在閱讀的文章。）
• 我希望服務器沒有圖形環境

分區。

• 建議將用戶使用的文件夾（例如“ / home /”“ / tmp /”“ / var / tmp /”“ / opt /”）分配給與系統分區不同的分區。
• 諸如“ / var / log”（存儲所有系統日誌的位置）之類的關鍵文件夾放在另一個分區上。
• 現在，取決於服務器的類型，例如，如果它是郵件服務器。 文件夾“/var/mail 和/或 /var/spool/mail»應該是一個單獨的分區。

密碼。

對於任何人來說，系統用戶和/或使用它們的其他類型的服務的密碼都必須是安全的不是什麼秘密。

建議是：

• 不包含： 您的姓名，您的寵物的姓名，親戚的姓名，特殊日期，地點等。 結論。 密碼不應與您有關，或與您或您的日常生活有關，也不應與帳戶本身有關。  例如： 推特＃123。
• 密碼還必須符合以下參數：組合大寫，小寫，數字和特殊字符。  例如： DiAFsd·$ 354''

安裝系統後

• 這是個人的東西。 但是我喜歡刪除ROOT用戶並將所有特權分配給另一個用戶，因此避免了對該用戶的攻擊。 很常見。

• 訂閱郵件列表是非常實用的，在那裡他們宣布您使用的發行版的安全性錯誤。 除了博客，bugzilla或其他可以警告您可能存在錯誤的實例。
• 與往常一樣，建議對系統及其組件進行不斷更新。
• 有人建議還使用密碼保護Grub或LILO和我們的BIOS。
• 除“他們必須等待的最短時間”和其他選項外，還有諸如“查冊”之類的工具，這些工具允許用戶每X次更改一次密碼。

有很多方法可以保護我們的PC。 以上所有都是在安裝服務之前。 再說幾件事。

有相當多的手冊值得閱讀。 了解這片巨大的可能性..隨著時間的流逝，您會學到一件事或另一件事。 並且您將意識到它始終不存在..始終...

現在讓我們確保更多 服務。 我的第一個建議始終是： «不要保留默認配置»。 始終轉到服務配置文件，仔細閱讀每個參數的功能，不要在安裝時保留它。 它總是帶來問題。

然而：

SSH（/ etc / ssh / sshd_config）

在SSH中，我們可以做很多事情，這樣就不會輕易違反它。

例如：

-不允許ROOT登錄（如果您尚未更改）：

"PermitRootLogin no"

-不要讓密碼為空。

"PermitEmptyPasswords no"

-更改監聽端口。

"Port 666oListenAddress 192.168.0.1:666"

-僅授權某些用戶。

"AllowUsers alex ref me@somewhere"   我@某處是強制該用戶始終從同一IP連接。

-授權特定的組。

"AllowGroups wheel admin"

提示。

• 通過chroot鎖定ssh用戶是非常安全的，並且幾乎是強制性的。
• 您也可以禁用文件傳輸。
• 限制登錄嘗試失敗的次數。

幾乎必不可少的工具。

Fail2ban： 這個位於回購協議中的工具使我們能夠限制對許多類型的服務（“ ftp，ssh，apache ...等”）的訪問次數，從而禁止超過嘗試次數限制的IP。

硬化劑： 它們是使我們能夠“加固”或通過防火牆和/或其他實例武裝安裝的工具。 其中 ”硬化 和巴士底獄Linux«

入侵者探測器： 有許多NIDS，HIDS和其他工具，可讓我們通過日誌和警報來預防和保護自己免受攻擊。 在許多其他工具中。 存在“OSSEC«

結論。 這不是安全手冊，而是擁有一系列相當安全的服務器時需要考慮的一系列事項。

作為個人建議。 閱讀有關如何查看和分析LOGS的很多知識，讓我們成為一些Iptables的書呆子。 另外，在服務器上安裝的軟件越多，它就越容易受到攻擊，例如，必須對CMS進行良好的管理，對其進行更新並很好地查看我們添加的插件類型。

稍後，我想發送一篇有關如何確保特定內容的文章。 如果可以，我可以提供更多詳細信息並進行練習。