Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: защита сервера  (Прочитано 1019 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Attid

  • Автор темы
  • Участник
  • *
  • Сообщений: 177
    • Просмотр профиля
защита сервера
« : 25 Июнь 2014, 10:32:29 »
Доброго дня.

есть сервер с убунтой в интернете, хочется дополнительно его защитить.
там несколько сетевых сервисов (апач\ссх итд) вот думаю как надежнее и безболезненее это сделать.

задача чтоб туда никто не попал, а если попал то не вышел.

вариант - 1
самый простой, настроить iptables чтоб открытые порты были только разрешенные, и сверху еще запретить все исходящие.
типа никто не зайдет, если зайдет то бекдор не оставит, и на ружу не выйдет.
 
вариант - 2
 apparmor составить профили для всех работающих приложений. а все остальное запретить (хотя я так и не понял умеет ли он это)
но тут у меня есть опасение, а что если я что-то важное не внесу в список и сервер больше не загрузится ?


пока писал придумал вариант 3. сделать вариант1 + повесить apparmor на те задачи что висят в нет.
но может что старожилы еще предложат.

Оффлайн satch

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 1561
  • Kubuntu 15.10 amd64
    • Просмотр профиля
Re: защита сервера
« Ответ #1 : 25 Июнь 2014, 12:24:10 »
вариант 1 сразу отпадает, т.к. заходят только по открытым портам и если зайдут то всю вашу муть отключат.
вариант 2 разумно, т.к. не каждый знает про apparmor, но если узнают(для этого достаточно логи почитать) то "всю вашу муть отключат".

вариант 999 - оставить ssh по ключу, регулярно ставить обновления всего на что будут обновления, делать регулярные бекапы(т.к. если ломают, то ломают хорошо, так что трудно найти то чего поломали, куда засунули бяку... и т.д.).
на самом то деле много чего можно делать для безопасности и делать это бесконечно :)
Наше желание помочь прямопропорционально вашему желанию решить проблему

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: защита сервера
« Ответ #2 : 25 Июнь 2014, 12:25:24 »
Вообще, тема слишком обширная, хоть диссертацию пиши.
Тут надо выполнять анализ возможных угроз ИБ и в соответствии с этим вырабатывать политику противодействия.
Взять хотя бы минимизацию привилегий пользователей (в т.ч. пользователей, от которых сервисы работают), права доступа на ФС, членство в группах, шелл, механизмы аутентификации, длина паролей и ключей, алгоритмы шифрования и т.п.
« Последнее редактирование: 25 Июнь 2014, 12:49:52 от ArcFi »

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2261
    • Просмотр профиля
Re: защита сервера
« Ответ #3 : 25 Июнь 2014, 12:45:34 »
Смотря как "зайдут". Если просто сломают одного из пользователей, без получения прав root, то вышеописанное поможет от установки бэкдора или клиента по рассылке спама/ddos-атак в (например) директорию /tmp. Точнее, не от установки, а от запуска/работы.

Если же получат привилегии root, то ничего не поможет - только полная переустановка системы (поэтому бекап важен, но бекап заведомо "чистой", не ломанной системы).

delovoy

  • Гость
Re: защита сервера
« Ответ #4 : 25 Июнь 2014, 13:49:47 »
Жестко настроить ssh
1. Настроить авторизацию по запароленному включу.
2. Разрешить авторизацию только одному пользователю, опция AllowUsers в sshd_config
3. Открыть доступ к ssh только с доверенных IP адресов (iptables)
4. Настроить pam_abl, либо fail2ban на случай, если кто либо из доверенных IP адресов будет пытаться подобрать пароль (но у нас то ведь по ключу, просто будем банить злоумышленников)

Запускать службы только от системных пользователей + посадить в песочницу каждый демон, который доступен снаружи

+ комментарии выше, обновляться, следить за логами, расти детей, кормить семью.

Оффлайн Attid

  • Автор темы
  • Участник
  • *
  • Сообщений: 177
    • Просмотр профиля
Re: защита сервера
« Ответ #5 : 02 Июль 2014, 19:49:27 »
про ссх услышал, максимальная защита.
апач в песочницу не вижу смысла заводить, там весь сервер как песочница под одну задачу. и т.к. в файлы ничего не пишется то можно дополнительно запретить создавать\редактировать ему файлы полностью.

еще такой вопрос возник а как лучше мониторить сервер что взлом произошел ?
первое что пришло в голову это отправка сообщения что кто-то зашел по ссх.
второе это повесить "муть 1" из первого сообщения и мониторить что она запущенна и сообщать если что-то изменилось.

chemtech

  • Гость
Re: защита сервера
« Ответ #6 : 02 Июль 2014, 20:06:56 »

 

Страница сгенерирована за 0.208 секунд. Запросов: 24.