Защита сервера. Кто что делает?

Иногда навешиваю http-авторизацию веб-сервером поверх входа в админки Wordpress/Joomla, чтобы закрыть от перебора уязвимостей ботами. Защита не очень, но пойдет.
 
Меняем порт SSH на рандомный, запрещаем логин root, в IPTABLES можно ограничить доступ к порту по IP, Logwatch и
logcheck в помощь, + tripware для мониторинга изменений в файловой системе (настройка конечно), можно мониторить сайты таким образом, но лучше написать свой скриптик обхода
 
Меняем порт SSH на рандомный, запрещаем логин root, в IPTABLES можно ограничить доступ к порту по IP, Logwatch и
logcheck в помощь, + tripware для мониторинга изменений в файловой системе (настройка конечно), можно мониторить сайты таким образом, но лучше написать свой скриптик обхода
На Гитхабе есть такие скрипты.
 
У меня например авторизация в SSH идёт не по паролю а по ключам, ну и FTP полностью отрублено, и вообще никаких проблем
 
Недавно тоже искал способ защитить сеть конторы от брутфорсеров.
Личное ИМХО - научиться работать с IPTABLES.
Тогда можно практически на любой системе реализовать проброс портов, блокировку IP с частыми запросами, Port Knocking и даже ловушку для ботов (после нескольких попыток подключения на порты из определённого диапазона - дроп или TARPIT соединений). Получится что самому можно долбиться в один порт сколько себе настроишь, а боты которые просканируют 3-5 разных портов - сразу в бан.
Но конечно всегда и везде советуют юзать авторизацию по ключу, не светить RDP наружу и т.д. ...
Но вот такой я рукожоп и лентяй :)

//я не супер специалист, так что не стоит сразу материть какой я неграмотный. Сам постоянно ищу компромисс между защитой и удобством.
Например чтобы всегда с любого устройства иметь доступ к серверу.
Вот ссылка на нормально расписаный мануал + примеры в конце Для просмотра ссылки Войди или Зарегистрируйся
Сам по нему учился, ибо в гугле большинство готовых решений написаны на старых версиях и на новых не работают.
Получается даже на домашнем роутере на OpenWRT сделать более-менее нормальный фильтр
 
Более менее нормальные фильтры проще имхо, делать на Микротиках, там всё визуально:)
 
Меняем порт для SSH + подключение с использованием сертификата.
 
iptables, failed2ban, ssh + ключи
 
  • Нравится
Реакции: alpi
Всем привет.

С серверами дело имею редко, хотел спросить, кто и как организовывает защиту своих железных или облачных коней?

Сейчас для примера поднял сервер на Дебиане, как веб-сервер - стоит Apache 2. База в лице MariaDB 10. Фтп - vsftpd. Фаерволлом закрыл все что можно снаружи, кроме http/s, ssh, ftp.
Изменил стандартный 22 порт на рандом из головы (шучу, мой номер квартиры :)). Поставил fail2ban.

Кто что еще делает? Читал про системы мониторинга угроз и прочего, насколько они действенны, насколько они грузят и без того дохлую ВПСку и т.д.
Apache сохраняет логи веб-сервера по умолчанию в "/var/log/httpd/". Логи - очень важная вещь, позволяющая посмотреть, например, не совершались ли какие-либо попытки проникновения в ваш веб-сервер (затем вы сможете проверить IP адреса и время). Они записывают ВСЕ попытки подключения. Другая хорошая вещь, которую можно сделать с лог-файлами - это перемещение их в другие места (на тот случай, если кто-нибудь сможет проникнуть на ваш веб-сервер и захочет замести следы, но не найдет логи).

Хорошим способом является отправка вам электронного сообщения, когда происходит что-то необычное (например, несколько попыток обойти защиту вебсервера). Таким образом вы можете установить отправку сообщений на пейджер или ваш мобильный телефон. ;)

Привилегии

Вы должны ВСЕГДА запускать веб-сервер с самыми низкими возможными привилегиями. Например, ВСЕГДА запускайте Apache с правами "nobody", но НИКОГДА с правами "root". Таким образом, если кто-то и проникнет в ваш веб-сервер, то он не сможет сделать ничего серьезного, если, конечно, не
установлено больше никаких других сервисов (вот почему не следует устанавливать никаких других сервисов, кроме Apache (и "ssh", если хотите)).

CGI и PHP Скрипты

Вы должны быть предельно осторожны со своими CGI и PHP скриптами!! Огромный процент дыр в безопасности приходится на долю тех самых скриптов и программ. Вот почему вы должны ВСЕГДА проверять надежность скриптов и программ перед установкой их на вашем веб-сервере. Вы также
должны удалить все CGI, идущие в поставке с Apache.

Шифрование

Вы должны знать, что возможен перехват секретной информации путем сниффанья пакетов. Поэтому вы должны использовать шифрование для передачи информации между сервером и броузером.
Для шифрования данных вы можете воспользоваться модулем для Apache (mod_ssl - secure sockets layer).

Секретная Информация в Оффлайне

Если вы имеете дело с сайтом, занимающимся электронной коммерцией, то вы НЕ должны сохранять секретную информацию на серверной машине. Тогда где ее хранить? Что ж, лучшее, что вы можете сделать, так это подключение другого оффлайнового компьютера к своему серверу. Для соединения двух машин используйте однонаправленный кабель (таким образом информация может быть передана оффлайновой машине сервером, но получение информации с этой машины через сервер будет невозможно).

Создание Модифицированных Версий

Apache распространяется с открытым исходным кодом. Поэтому, если вы захотите модифицировать программу, то вы сможете это сделать. Это очень полезно, так как многие эксплоиты работают в соответствии с исходным кодом по умолчанию, и если вы немного модифицируете код, то
эксплоиты имеют мало шансов на выполнение своей задачи. Например, вы можете изменить место хранения лог-файлов.
 
Назад
Сверху