защита сервака

[natala]

Народ всем привет, подскажите пожалуйста, как лучше всего обезопасить свой сервер от атак?(от мелких до крупный)

[sandaksatru]

Самый лучший вариант - выдернуть Internet кабель Ну а так - постичь все возможности iptables, все его плагины и nftables на будущее (которое очень близко) с запасом. Потому как показывает практика, ни одно автоматизированное решение не даст тебе защиты лучше, чем решение сконфигурированное под тебя. И то это только от прямых атак низкого уровня. Также важно держать и пакеты в свежести и не забывать про security update'ы, и про всё, что на серверах крутится. Дыра может быть где угодно.

[ogost]

плюс к сказанному sandaksatru, в зависимости от того, какие сервисы предоставляет сервер, нужно правильно настраивать и эти самые сервисы. иначе говоря, ежели это веб сервер, то и корректные настройки apache2/nginx/(или что у вас там в качестве веб сервера работает) немаловажны. ежели ещё и база данных, то и корректные настройки соотвественно mysql/postgre/итд немаловажны. и так далее по списку - всё что смотрит наружу должно быть сконфигурировано соответствующим образом. как видите тема обширная, одним ответом сыт не будешь

[natala]

плюс к сказанному sandaksatru, в зависимости от того, какие сервисы предоставляет сервер, нужно правильно настраивать и эти самые сервисы. иначе говоря, ежели это веб сервер, то и корректные настройки apache2/nginx/(или что у вас там в качестве веб сервера работает) немаловажны. ежели ещё и база данных, то и корректные настройки соотвественно mysql/postgre/итд немаловажны. и так далее по списку - всё что смотрит наружу должно быть сконфигурировано соответствующим образом. как видите тема обширная, одним ответом сыт не будешь

обширная, все равно спасибо за ответы. в данном случаи у меня веб-сервер и база данных, хотелось полностью вникнуть в систему защиты сервера, чтоб в будущем не огрести проблем)

[ogost]

парочку простейших советов:
если у вас открыт ssh, то запретить прямой доступ root через него.
в /etc/ssh/sshd_config поправить PermitRootLogon Yes на No и перезапустить sshd. будете подключаться к серверу по ssh в качестве пользователя, а потом уже с помощью su переходить в рутовский консоль.
так же нужно у пользователя отобрать права sudo. всё это делается для того, чтобы вас не сбрутфорсили, и если всё-таки сбрутфорсили пользователя, чтоб у него не было рутовских прав.

по базе данных рекомендую ограничить подключения до тех хостов, которые к нему заведомо подключаются. то бишь если к вашей БД подключается только ваш веб-сервер, находящийся на том же хосте, то нужно ограничить подключения до локалхоста. сделать это можно как и с помощью настроек самой БД, так и с помощью iptables/другой брандмауэр.

В общем, всё довольно специфично и зависит от конкретных условий и требований.

[natala]

парочку простейших советов:
если у вас открыт ssh, то запретить прямой доступ root через него.
в /etc/ssh/sshd_config поправить PermitRootLogon Yes на No и перезапустить sshd. будете подключаться к серверу по ssh в качестве пользователя, а потом уже с помощью su переходить в рутовский консоль.
так же нужно у пользователя отобрать права sudo. всё это делается для того, чтобы вас не сбрутфорсили, и если всё-таки сбрутфорсили пользователя, чтоб у него не было рутовских прав.

по базе данных рекомендую ограничить подключения до тех хостов, которые к нему заведомо подключаются. то бишь если к вашей БД подключается только ваш веб-сервер, находящийся на том же хосте, то нужно ограничить подключения до локалхоста. сделать это можно как и с помощью настроек самой БД, так и с помощью iptables/другой брандмауэр.

В общем, всё довольно специфично и зависит от конкретных условий и требований.

спасибо) буду капать в этом направлении) за основу взял книгу Эви Немет, Гарт Снайдер, Трент Хейн, Бэн Уэйли UNIX И LINUX Руководство системного администратора.
пока что я приследую основные цели:
Кража паролей пользователей, доступ в закрытые разделы.
«Уничтожение» сервера, цель, довести до нерабочего состояния.
Получить неограниченный доступ к серверу.
Вживление в код ссылок, различных вирусов и прочего SQL-инъекция, XSS-атаки.
Понижение сайта в поисковой выдаче до полного его выпадения.
IP-спуфинг.
Сниффинг пакетов

[dogsleg]

Вот тут -- http://feeding.cloud.geek.nz/posts/usual-server-setup/ -- интересная и краткая информация о настройке сервера. Правда, на английском...

[natala]

Вот тут -- http://feeding.cloud.geek.nz/posts/usual-server-setup/ -- интересная и краткая информация о настройке сервера. Правда, на английском...

спасибо английский не проблема))

[PeterBumblebee]

Про fail2ban забыли упомянуть.
Оно само пережёвывает логи и банит айпишники, которые пытались что-то сбрутфорсить или вели себя вообще как-то неадекватно.
Имхо хорошая штука.

[natala]

Про fail2ban забыли упомянуть.
Оно само пережёвывает логи и банит айпишники, которые пытались что-то сбрутфорсить или вели себя вообще как-то неадекватно.
Имхо хорошая штука.

Спасибо)) если вдруг кто что вспомнит пишите)))

[0d1n]

Смена порта по умолчанию sshd в 99,9% спасает от постоянной долбежки и перебора паролей нашими желтыми друзьями

[Dt-13]

Спасибо)) если вдруг кто что вспомнит пишите)))

Snort на стражу.