защита сервера

[Attid]

Доброго дня.

есть сервер с убунтой в интернете, хочется дополнительно его защитить.
там несколько сетевых сервисов (апач\ссх итд) вот думаю как надежнее и безболезненее это сделать.

задача чтоб туда никто не попал, а если попал то не вышел.

вариант - 1
самый простой, настроить iptables чтоб открытые порты были только разрешенные, и сверху еще запретить все исходящие.
типа никто не зайдет, если зайдет то бекдор не оставит, и на ружу не выйдет.
 
вариант - 2
 apparmor составить профили для всех работающих приложений. а все остальное запретить (хотя я так и не понял умеет ли он это)
но тут у меня есть опасение, а что если я что-то важное не внесу в список и сервер больше не загрузится ?


пока писал придумал вариант 3. сделать вариант1 + повесить apparmor на те задачи что висят в нет.
но может что старожилы еще предложат.

[satch]

вариант 1 сразу отпадает, т.к. заходят только по открытым портам и если зайдут то всю вашу муть отключат.
вариант 2 разумно, т.к. не каждый знает про apparmor, но если узнают(для этого достаточно логи почитать) то "всю вашу муть отключат".

вариант 999 - оставить ssh по ключу, регулярно ставить обновления всего на что будут обновления, делать регулярные бекапы(т.к. если ломают, то ломают хорошо, так что трудно найти то чего поломали, куда засунули бяку... и т.д.).
на самом то деле много чего можно делать для безопасности и делать это бесконечно

[ArcFi]

Вообще, тема слишком обширная, хоть диссертацию пиши.
Тут надо выполнять анализ возможных угроз ИБ и в соответствии с этим вырабатывать политику противодействия.
Взять хотя бы минимизацию привилегий пользователей (в т.ч. пользователей, от которых сервисы работают), права доступа на ФС, членство в группах, шелл, механизмы аутентификации, длина паролей и ключей, алгоритмы шифрования и т.п.

[Karl500]

Смотря как "зайдут". Если просто сломают одного из пользователей, без получения прав root, то вышеописанное поможет от установки бэкдора или клиента по рассылке спама/ddos-атак в (например) директорию /tmp. Точнее, не от установки, а от запуска/работы.

Если же получат привилегии root, то ничего не поможет - только полная переустановка системы (поэтому бекап важен, но бекап заведомо "чистой", не ломанной системы).

[delovoy]

Жестко настроить ssh
1. Настроить авторизацию по запароленному включу.
2. Разрешить авторизацию только одному пользователю, опция AllowUsers в sshd_config
3. Открыть доступ к ssh только с доверенных IP адресов (iptables)
4. Настроить pam_abl, либо fail2ban на случай, если кто либо из доверенных IP адресов будет пытаться подобрать пароль (но у нас то ведь по ключу, просто будем банить злоумышленников)

Запускать службы только от системных пользователей + посадить в песочницу каждый демон, который доступен снаружи

+ комментарии выше, обновляться, следить за логами, расти детей, кормить семью.

[Attid]

про ссх услышал, максимальная защита.
апач в песочницу не вижу смысла заводить, там весь сервер как песочница под одну задачу. и т.к. в файлы ничего не пишется то можно дополнительно запретить создавать\редактировать ему файлы полностью.

еще такой вопрос возник а как лучше мониторить сервер что взлом произошел ?
первое что пришло в голову это отправка сообщения что кто-то зашел по ссх.
второе это повесить "муть 1" из первого сообщения и мониторить что она запущенна и сообщать если что-то изменилось.

[chemtech]

Посмотрите ссылки в теме
Тема: Взлом по 80 порту отдаётся офигенный трафик