Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Интернет-шлюз, vpn-маршрутизатор на базе Ubuntu. Как не дать себя сломать?  (Прочитано 5731 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн thunderamur

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 6848
    • Просмотр профиля
Планирую поставить вместо кучи роутеров 1 сервер на базе Ubuntu. Настрою раздачу инета, vpn-server. Но интересен вопрос безопасности. Ведь в случае прямого подключения сервера к провайдерам, без NAT роутера, он будет доступен из мира. Настройки по дефолту достаточно безопасны для этого дела. Я имею в виду в т.ч. ssh, который там установлен. Наверное ему можно указать, слушать только локалку и впн-сеть. Далее по openvpn, повесить на левый порт на всякий, что ещё?

Мб я излишне кипишую, у кого есть опыт эксплуатации подобного сервера в организации поделитесь.

Пользователь решил продолжить мысль 08 Апрель 2013, 10:33:58:
закрываем доступ к ssh из Мира:
/etc/ssh/sshd_config
#ListenAddress 0.0.0.0Раскоммент и вписываем адреса нужных интерфейсов, подозреваю, что просто через запятую.

Пользователь решил продолжить мысль 08 Апрель 2013, 10:36:30:
защита от брута ssh
apt-get install fail2ban
« Последнее редактирование: 08 Апрель 2013, 10:36:30 от ⚡ Thunde® ⚡ »

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1706
  • חתול המדען
    • Просмотр профиля
защита от брута ssh
apt-get install fail2ban
(Нажмите, чтобы показать/скрыть)
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн thunderamur

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 6848
    • Просмотр профиля
KT315,
профит перед fail2ban?

Какие ещё замечания по безопасности? Можно выкидывать в мир в стоке?
Так то я пользую VDS с 12.04 в качестве веб-сервера, ничего не крутил там кроме нужного для реализации нужной задачи. Уже скоро год будет, без проблем.

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1706
  • חתול המדען
    • Просмотр профиля
KT315,
профит перед fail2ban?
Хотя бы по быстродействию, потому что fail2ban работает в userspace. Парсить лог, а затем применять iptables, мне не нравиться - это медленно и не правильно. Логичнее сразу применять iptables, который пишет в лог.
« Последнее редактирование: 08 Апрель 2013, 14:25:09 от KT315 »
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
У меня примерно так же.
iptables с белым списком по минимуму, всё остальное в REJECT.
ssh открыт наружу, только для пары доверенных хостов со статическим IP, на случай, если ляжет vpn.
fail2ban, само собой.

По поводу укрепления безопасности vpn есть тут:
http://openvpn.net/index.php/open-source/documentation/howto.html#security

Оффлайн thunderamur

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 6848
    • Просмотр профиля
ArcFi,
Большинство рекомендаций безопасности по openvpn уже применены.

Белый список IPTABLES хорошо, но как же подключения openvpn из дома?

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
⚡ Thunde® ⚡, мне vpn-порт по-любому придётся открытым держать.
Дело даже не в админке из дому, ибо там белый IP, и я мог бы им ограничиться.
Однако, люди с буками от конторы могут мотаться от Мурманска до Москвы, ещё в Финку и хз куда.
Впрочем, аутентификакция по сертификатам, и если чей-то сертификат будет скомпрометирован, то забабахаю его в CRL.

Оффлайн thunderamur

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 6848
    • Просмотр профиля
ArcFi,
аналогично, есть люди с буками. И да, сертификаты, и да, отзыв сертификаты тоже применяется :)

Оффлайн censor

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
касаемо ssh достаточно повесить его на нестандартный порт и отвалится 99% ботов.
скоро 2 года как в офисе Ubuntu работает в качестве шлюза, по-началу ссх висел на стандартном порту и попыток логиниться под рутом была туева хуча, после сбора статистики порт было решено изменить.
и еще 1 момент, в конфиг ssh добавь строку
AllowUsers youruser
или группу, например ssh
AllowGroups ssh

Оффлайн Unreg

  • Активист
  • *
  • Сообщений: 751
  • Ubuntu 8.04 / Acer Aspire One 110 > Debian 5.04
    • Просмотр профиля
    • LJ
+ port knocking
+ ssh honeypot на tcp/22 повесть можно

Оффлайн Yuriy_Y

  • Старожил
  • *
  • Сообщений: 1736
    • Просмотр профиля
    • Новоишимка
касаемо ssh достаточно повесить его на нестандартный порт и отвалится 99% ботов.
Возможно так и есть, но это против ботов только.
Достаточно "адной таблэтки":
nmap -sV ип_адрес -p 1-9999чтобы через минуты две получить
(Нажмите, чтобы показать/скрыть)
Из которого видно, что порт ssh всеж определить возможно. В качестве легкого пранка, конечно, можно переобозвать порты в файле /etc/services, но как это отразится на системе, не знаю. :)
С уважением, Юрий.

Оффлайн censor

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
сканировать 65535 портов на произвольном количестве компьютеров накладно для атакующего компьютера да и палится это на оборудовании провайдеров, против целенаправленной атаки смена порта естественно что мертвому припарка.

Оффлайн Yuriy_Y

  • Старожил
  • *
  • Сообщений: 1736
    • Просмотр профиля
    • Новоишимка
Вот и я думаю, имхо, из тех 99% ботов, которые отвалятся, 98.5% запущено "кулхацкерами", которые любят "хацкать", но не знают, где взять ИПшник для хака. А против серьезных людей уже работать сложнее. Но серьезных людей ваш сервер врядли может заинтересовать, поэтому, не стОит превращать свой сервер в фортификационное сооружение, иначе можно запросто стать параноиком.  :)
С уважением, Юрий.

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
А мне нравятся фортифицированные сооружения, и считаю, что здоровая паранойя весьма полезна. %)

Оффлайн deepqeeb

  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля

 

Страница сгенерирована за 0.082 секунд. Запросов: 25.