Автор Тема: защита сервака  (Прочитано 1952 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн natala

защита сервака
« : 09 Июня 2015, 20:34:53 »
Народ всем привет, подскажите пожалуйста, как лучше всего обезопасить свой сервер от атак?(от мелких до крупный)
 

Оффлайн sandaksatru

Re: защита сервака
« Ответ #1 : 10 Июня 2015, 00:20:32 »
Самый лучший вариант - выдернуть Internet кабель ;D Ну а так - постичь все возможности iptables, все его плагины и nftables на будущее (которое очень близко) с запасом. Потому как показывает практика, ни одно автоматизированное решение не даст тебе защиты лучше, чем решение сконфигурированное под тебя. И то это только от прямых атак низкого уровня. Также важно держать и пакеты в свежести и не забывать про security update'ы, и про всё, что на серверах крутится. Дыра может быть где угодно.
 
Пользователи, которые поблагодарили этот пост: natala

Оффлайн ogost

Re: защита сервака
« Ответ #2 : 10 Июня 2015, 06:53:24 »
плюс к сказанному sandaksatru, в зависимости от того, какие сервисы предоставляет сервер, нужно правильно настраивать и эти самые сервисы. иначе говоря, ежели это веб сервер, то и корректные настройки apache2/nginx/(или что у вас там в качестве веб сервера работает) немаловажны. ежели ещё и база данных, то и корректные настройки соотвественно mysql/postgre/итд немаловажны. и так далее по списку - всё что смотрит наружу должно быть сконфигурировано соответствующим образом. как видите тема обширная, одним ответом сыт не будешь :)

Оффлайн natala

Re: защита сервака
« Ответ #3 : 10 Июня 2015, 07:21:50 »
плюс к сказанному sandaksatru, в зависимости от того, какие сервисы предоставляет сервер, нужно правильно настраивать и эти самые сервисы. иначе говоря, ежели это веб сервер, то и корректные настройки apache2/nginx/(или что у вас там в качестве веб сервера работает) немаловажны. ежели ещё и база данных, то и корректные настройки соотвественно mysql/postgre/итд немаловажны. и так далее по списку - всё что смотрит наружу должно быть сконфигурировано соответствующим образом. как видите тема обширная, одним ответом сыт не будешь :)
обширная, все равно спасибо за ответы. в данном случаи у меня веб-сервер и база данных, хотелось полностью вникнуть в систему защиты сервера, чтоб в будущем не огрести проблем)
 

Оффлайн ogost

Re: защита сервака
« Ответ #4 : 10 Июня 2015, 08:01:10 »
парочку простейших советов:
если у вас открыт ssh, то запретить прямой доступ root через него.
в /etc/ssh/sshd_config поправить PermitRootLogon Yes на No и перезапустить sshd. будете подключаться к серверу по ssh в качестве пользователя, а потом уже с помощью su переходить в рутовский консоль.
так же нужно у пользователя отобрать права sudo. всё это делается для того, чтобы вас не сбрутфорсили, и если всё-таки сбрутфорсили пользователя, чтоб у него не было рутовских прав.

по базе данных рекомендую ограничить подключения до тех хостов, которые к нему заведомо подключаются. то бишь если к вашей БД подключается только ваш веб-сервер, находящийся на том же хосте, то нужно ограничить подключения до локалхоста. сделать это можно как и с помощью настроек самой БД, так и с помощью iptables/другой брандмауэр.

В общем, всё довольно специфично и зависит от конкретных условий и требований.

Оффлайн natala

Re: защита сервака
« Ответ #5 : 10 Июня 2015, 08:15:49 »
парочку простейших советов:
если у вас открыт ssh, то запретить прямой доступ root через него.
в /etc/ssh/sshd_config поправить PermitRootLogon Yes на No и перезапустить sshd. будете подключаться к серверу по ssh в качестве пользователя, а потом уже с помощью su переходить в рутовский консоль.
так же нужно у пользователя отобрать права sudo. всё это делается для того, чтобы вас не сбрутфорсили, и если всё-таки сбрутфорсили пользователя, чтоб у него не было рутовских прав.

по базе данных рекомендую ограничить подключения до тех хостов, которые к нему заведомо подключаются. то бишь если к вашей БД подключается только ваш веб-сервер, находящийся на том же хосте, то нужно ограничить подключения до локалхоста. сделать это можно как и с помощью настроек самой БД, так и с помощью iptables/другой брандмауэр.

В общем, всё довольно специфично и зависит от конкретных условий и требований.
спасибо) буду капать в этом направлении) за основу взял книгу Эви Немет, Гарт Снайдер, Трент Хейн, Бэн Уэйли UNIX И LINUX Руководство системного администратора.
пока что я приследую основные цели:
Кража паролей пользователей, доступ в закрытые разделы.
«Уничтожение» сервера, цель, довести до нерабочего состояния.
Получить неограниченный доступ к серверу.
Вживление в код ссылок, различных вирусов и прочего SQL-инъекция, XSS-атаки.
Понижение сайта в поисковой выдаче до полного его выпадения.
IP-спуфинг.
Сниффинг пакетов

« Последнее редактирование: 10 Июня 2015, 08:18:14 от natala »
 

Оффлайн dogsleg

Re: защита сервака
« Ответ #6 : 10 Июня 2015, 13:28:16 »
Вот тут -- http://feeding.cloud.geek.nz/posts/usual-server-setup/ -- интересная и краткая информация о настройке сервера. Правда, на английском...
 
Пользователи, которые поблагодарили этот пост: natala

Оффлайн natala

Re: защита сервака
« Ответ #7 : 10 Июня 2015, 20:18:57 »
Вот тут -- http://feeding.cloud.geek.nz/posts/usual-server-setup/ -- интересная и краткая информация о настройке сервера. Правда, на английском...
спасибо английский не проблема))
 

Оффлайн PeterBumblebee

Re: защита сервака
« Ответ #8 : 12 Июня 2015, 15:58:07 »
Про fail2ban забыли упомянуть.
Оно само пережёвывает логи и банит айпишники, которые пытались что-то сбрутфорсить или вели себя вообще как-то неадекватно.
Имхо хорошая штука.
Who the hell cares?
 
Пользователи, которые поблагодарили этот пост: natala

Оффлайн natala

Re: защита сервака
« Ответ #9 : 12 Июня 2015, 17:00:11 »
Про fail2ban забыли упомянуть.
Оно само пережёвывает логи и банит айпишники, которые пытались что-то сбрутфорсить или вели себя вообще как-то неадекватно.
Имхо хорошая штука.
Спасибо)) если вдруг кто что вспомнит пишите)))
 

Оффлайн 0d1n

Re: защита сервака
« Ответ #10 : 13 Июня 2015, 17:01:30 »
Смена порта по умолчанию sshd в 99,9% спасает от постоянной долбежки и перебора паролей нашими желтыми друзьями ::)
 
Пользователи, которые поблагодарили этот пост: natala

Оффлайн Dt-13

Re: защита сервака
« Ответ #11 : 13 Июня 2015, 20:25:09 »
Спасибо)) если вдруг кто что вспомнит пишите)))

Snort на стражу.
 

Теги: