защита сервака

natala · 09 июня 2015, 20:34:53

Народ всем привет, подскажите пожалуйста, как лучше всего обезопасить свой сервер от атак?(от мелких до крупный)

sandaksatru · 10 июня 2015, 00:20:32

Самый лучший вариант - выдернуть Internet кабель

Ну а так - постичь все возможности iptables, все его плагины и nftables на будущее (которое очень близко) с запасом. Потому как показывает практика, ни одно автоматизированное решение не даст тебе защиты лучше, чем решение сконфигурированное под тебя. И то это только от прямых атак низкого уровня. Также важно держать и пакеты в свежести и не забывать про security update'ы, и про всё, что на серверах крутится. Дыра может быть где угодно.

ogost · 10 июня 2015, 06:53:24

плюс к сказанному sandaksatru, в зависимости от того, какие сервисы предоставляет сервер, нужно правильно настраивать и эти самые сервисы. иначе говоря, ежели это веб сервер, то и корректные настройки apache2/nginx/(или что у вас там в качестве веб сервера работает) немаловажны. ежели ещё и база данных, то и корректные настройки соотвественно mysql/postgre/итд немаловажны. и так далее по списку - всё что смотрит наружу должно быть сконфигурировано соответствующим образом. как видите тема обширная, одним ответом сыт не будешь

natala · 10 июня 2015, 07:21:50

Цитата: ogost от 10 июня 2015, 06:53:24
плюс к сказанному sandaksatru, в зависимости от того, какие сервисы предоставляет сервер, нужно правильно настраивать и эти самые сервисы. иначе говоря, ежели это веб сервер, то и корректные настройки apache2/nginx/(или что у вас там в качестве веб сервера работает) немаловажны. ежели ещё и база данных, то и корректные настройки соотвественно mysql/postgre/итд немаловажны. и так далее по списку - всё что смотрит наружу должно быть сконфигурировано соответствующим образом. как видите тема обширная, одним ответом сыт не будешь

обширная, все равно спасибо за ответы. в данном случаи у меня веб-сервер и база данных, хотелось полностью вникнуть в систему защиты сервера, чтоб в будущем не огрести проблем)

ogost · 10 июня 2015, 08:01:10

парочку простейших советов:
если у вас открыт ssh, то запретить прямой доступ root через него.
в /etc/ssh/sshd_config поправить PermitRootLogon Yes на No и перезапустить sshd. будете подключаться к серверу по ssh в качестве пользователя, а потом уже с помощью su переходить в рутовский консоль.
так же нужно у пользователя отобрать права sudo. всё это делается для того, чтобы вас не сбрутфорсили, и если всё-таки сбрутфорсили пользователя, чтоб у него не было рутовских прав.

по базе данных рекомендую ограничить подключения до тех хостов, которые к нему заведомо подключаются. то бишь если к вашей БД подключается только ваш веб-сервер, находящийся на том же хосте, то нужно ограничить подключения до локалхоста. сделать это можно как и с помощью настроек самой БД, так и с помощью iptables/другой брандмауэр.

В общем, всё довольно специфично и зависит от конкретных условий и требований.

natala · 10 июня 2015, 08:15:49

Цитата: ogost от 10 июня 2015, 08:01:10
парочку простейших советов:
если у вас открыт ssh, то запретить прямой доступ root через него.
в /etc/ssh/sshd_config поправить PermitRootLogon Yes на No и перезапустить sshd. будете подключаться к серверу по ssh в качестве пользователя, а потом уже с помощью su переходить в рутовский консоль.
так же нужно у пользователя отобрать права sudo. всё это делается для того, чтобы вас не сбрутфорсили, и если всё-таки сбрутфорсили пользователя, чтоб у него не было рутовских прав.

по базе данных рекомендую ограничить подключения до тех хостов, которые к нему заведомо подключаются. то бишь если к вашей БД подключается только ваш веб-сервер, находящийся на том же хосте, то нужно ограничить подключения до локалхоста. сделать это можно как и с помощью настроек самой БД, так и с помощью iptables/другой брандмауэр.

В общем, всё довольно специфично и зависит от конкретных условий и требований.

спасибо) буду капать в этом направлении) за основу взял книгу Эви Немет, Гарт Снайдер, Трент Хейн, Бэн Уэйли UNIX И LINUX Руководство системного администратора.
пока что я приследую основные цели:
Кража паролей пользователей, доступ в закрытые разделы.
«Уничтожение» сервера, цель, довести до нерабочего состояния.
Получить неограниченный доступ к серверу.
Вживление в код ссылок, различных вирусов и прочего SQL-инъекция, XSS-атаки.
Понижение сайта в поисковой выдаче до полного его выпадения.
IP-спуфинг.
Сниффинг пакетов

dogsleg · 10 июня 2015, 13:28:16

Вот тут -- http://feeding.cloud.geek.nz/posts/usual-server-setup/ -- интересная и краткая информация о настройке сервера. Правда, на английском...

natala · 10 июня 2015, 20:18:57

Цитата: dogsleg от 10 июня 2015, 13:28:16
Вот тут -- http://feeding.cloud.geek.nz/posts/usual-server-setup/ -- интересная и краткая информация о настройке сервера. Правда, на английском...

спасибо английский не проблема))

PeterBumblebee · 12 июня 2015, 15:58:07

Про fail2ban забыли упомянуть.
Оно само пережёвывает логи и банит айпишники, которые пытались что-то сбрутфорсить или вели себя вообще как-то неадекватно.
Имхо хорошая штука.

natala · 12 июня 2015, 17:00:11

Цитата: PeterBumblebee от 12 июня 2015, 15:58:07
Про fail2ban забыли упомянуть.
Оно само пережёвывает логи и банит айпишники, которые пытались что-то сбрутфорсить или вели себя вообще как-то неадекватно.
Имхо хорошая штука.

Спасибо)) если вдруг кто что вспомнит пишите)))

0d1n · 13 июня 2015, 17:01:30

Смена порта по умолчанию sshd в 99,9% спасает от постоянной долбежки и перебора паролей нашими желтыми друзьями

Dt-13 · 13 июня 2015, 20:25:09

Цитата: natala от 12 июня 2015, 17:00:11Спасибо)) если вдруг кто что вспомнит пишите)))

Snort на стражу.