Автор Тема: Безопасность серверов  (Прочитано 9174 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн doctor@tardis

Безопасность серверов
« : 07 Сентября 2015, 07:50:14 »
    Данная тема создана, чтобы собрать основные пункты для обеспечения безопасности и стабильной работы серверов на GNU/Linux и в частности Debian. В комментариях задаем вопросы/дополняем/исправляем недочеты, которые будут собраны в шапке темы.   

    Пожалуй, первое, с чего стоит начать - доступ к серверу. Не всегда имеется возможность физического подключения, а каждый раз обращаться к провайдеру - не дело.

Доступ

Совет #1: Отдельный менеджмент интерфейс.

Допустим, у вас есть веб-сервер. Многие используют один адрес для основной работы и для администрирования. И при атаке на сервер с помощью нагрузки канала, доступ к серверу пропадает, канал рвется, остается надеяться на лучшее и видеть, как сервер тонет. И если атака с нарастающей мощностью, то у вас еще будет пару минут для защиты, но существуют атаки, которые моментально губят доступ и не оставляют возможности для защиты. Профилактика конечно необходима, необходимо иметь какие-то скрипты для автоматической защиты, но... запасной выход также необходим.
Так почему бы не использовать отдельный порт/адрес для администрирования? Адрес, который знаете только вы, который не будет затронут при атаке.


Совет #2: Замена дефолтного порта для ssh.

    Теперь поговорим о самом доступе. Чаще всего используется ssh. И тут нужно залатать некоторые дыры. Во первых, ssh по умолчанию использует 22 порт. Этим пользуются боты и это уже уязвимость. Конечно, можно задать супер-сложный пароль, но все же, защитой пренебрегать нельзя. И так, меняем порт для ssh на какой-нибудь другой.

sed -i 's/Port\ 22/Port\ 4897/g' /etc/ssh/sshd_config && /etc/init.d/ssh restart
   
Заменяем 4897 на какой-нибудь другой порт, по своему усмотрению. Теперь к серверу доступ можно будет получить только вводя в запросе ssh порт:

ssh x.x.x.x -p 4897








...
« Последнее редактирование: 09 Сентября 2015, 13:04:32 от doctor@tardis »
 

Оффлайн endru

Re: Безопасность серверов
« Ответ #1 : 07 Сентября 2015, 08:36:46 »
Так почему бы не использовать отдельный порт/адрес для администрирования? Адрес, который знаете только вы, который не будет затронут при атаке.
что значит отдельный порт для администрирования? отдельное сетевое подключение? SNMP?

Начинать нужно всегда с малого - Устанавливаем fail2ban...

Оффлайн doctor@tardis

Re: Безопасность серверов
« Ответ #2 : 07 Сентября 2015, 08:43:06 »
endru, отдельный eth-интерфейс с другим адресом.
Fail2ban - само собой, но я пока что говорил о доступе к серверу, а точнее администрировании.
 

Оффлайн PbI6A

Re: Безопасность серверов
« Ответ #3 : 07 Сентября 2015, 08:56:17 »
fail2ban даже с умолчальными настройками - довольно капитальная штука. Я поставил у себя на сервере и удивился, насколько много пытаются ломать. Хотя несколько лет было без него и... не сломали :)

Cообщение объединено 07 Сентября 2015, 09:02:00
Кстати, очень важно в безопасности - делать хорошие пароли, потому что подбором ломают часто. Если fail2ban не стоит :) Например, пароль "44_Veselix_4ija" будет довольно сложно сломать перебором, а человеку будет довольно легко запомнить :)
« Последнее редактирование: 07 Сентября 2015, 09:02:00 от PbI6A »
LINUX means: Linux Is Not a UniX
 

Оффлайн ihammers

Re: Безопасность серверов
« Ответ #4 : 08 Сентября 2015, 05:53:09 »
Если у вас на сервере 2 интерфейса и один смотрит в локальную сеть, то да, можно всё вывести на него. А на внешний отдать только веб или что требуется.
Несколько пунктов:
  • Отключаем доступ root по ssh, некоторые меняют порт.
  • Устанавливаем fail2ban.
  • Используем большие пароли и ключи, для доступа к системе.
  • Используем как можно меньше пакетов, чем больше пакетов, там больше потенциальных дыр.
  • Если используется паранаидальный режим, то устанавливаем OpenVPN и администрирование только через него.
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64,
LXQt/KDE/OpenBox AMD Phenon X4 / 16Gb RAM / ATI HD7750 Silent
_______________________________
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64, LXQt/KDE/OpenBox
Acer Aspire One 722 AMD C60 / 4Gb RAM / ATI HD6290
 

Оффлайн ogost

Re: Безопасность серверов
« Ответ #5 : 08 Сентября 2015, 06:39:26 »
извне закрываем все неиспользуемые порты, посредством iptables или другого брандмауэра.
не забываем о security обновлениях. естественно внимательно читаем changelog дабы не сломать чего.

Spoiler: ShowHide
doctor@tardis, если соберете все дельные советы в головную тему, то можем и прикрепить её.

Оффлайн endru

Re: Безопасность серверов
« Ответ #6 : 09 Сентября 2015, 11:44:47 »
doctor@tardis, слежу за обновлениями, и могу сразу сказать, что команда sed -i 's/22/4897/g' /etc/ssh/sshd_config && /etc/init.d/ssh restart потенциально опасна! Нет гарантий что в конфиге больше нет "22"!
нужно четко указывать, что мы меняем:
Код: (bash) [Выделить]
sed -i 's/Port\ 22/Port\ 4897/g' /etc/ssh/sshd_config && /etc/init.d/ssh restart
по совету №1:
Так почему бы не использовать отдельный порт/адрес для администрирования? Адрес, который знаете только вы, который не будет затронут при атаке.
будет куча вопросов. даже я не понял что конкретно предлагается сделать...
 
Пользователи, которые поблагодарили этот пост: doctor@tardis

yura_n

  • Гость
Re: Безопасность серверов
« Ответ #7 : 09 Сентября 2015, 13:06:06 »
Данная тема создана, чтобы собрать основные пункты для обеспечения безопасности и стабильной работы серверов на GNU/Linux и в частности Debian.
Основных пунктов для обеспечения безопасности не так уж много. И не только серверов, и не только в Debian. Это:

* Контроль портов.
* Работа с обычными "юникс" правами (DAC).
* Изоляция приложений, то бишь системы мандатного контроля доступа (MAC) и разнообразные контейнеры.
* Дополнительная защита памяти.

Вот вроде и все.
P.S. Про шифрование забыл.
« Последнее редактирование: 09 Сентября 2015, 16:10:33 от yura_n »
 

Оффлайн doctor@tardis

Re: Безопасность серверов
« Ответ #8 : 09 Сентября 2015, 13:09:10 »
endru, исправил скрипт) Писал для настроек по дефолту, но да, видимо все же лучше указывать более точное значение.

Насчет интерфейса. Когда берете у провайдера сервер(или виртуалку), скажем для хостинга веб сайта, вам дают айпишник, которому присвоят днс имя, откуда все будут заходить на сайт. Кроме того, с этого же адреса вы администрируете сайт. При дос атаке, подключиться по ssh к адресу будет проблематично, ибо канал нагружен. Миллионы пакетов приходят на этот интерфейс и ваш ssh просто не сможет подключиться.
Так почему бы не взять еще один интерфейс(eth1), с другим адресом. Пока будут атаковать eth0, вы через eth1 спокойно подключитесь и сделаете то что надо.
 

Теги:
     

    Безопасность LAMP на Debian 7

    Автор EvoquE

    Ответов: 2
    Просмотров: 1870
    Последний ответ 08 Марта 2017, 18:37:10
    от EvoquE
    Безопасность с nvidia

    Автор serke7771

    Ответов: 2
    Просмотров: 1473
    Последний ответ 16 Февраля 2017, 04:34:44
    от endru