Защита сервера. Кто что делает?

Тема в разделе "Администрирование серверов", создана пользователем Maybe, 21 май 2017.

Модераторы: mefish
  1. Maybe

    Maybe

    Moderator
    Регистр.:
    7 июл 2008
    Сообщения:
    1.172
    Симпатии:
    1.199
    Всем привет.

    С серверами дело имею редко, хотел спросить, кто и как организовывает защиту своих железных или облачных коней?

    Сейчас для примера поднял сервер на Дебиане, как веб-сервер - стоит Apache 2. База в лице MariaDB 10. Фтп - vsftpd.
    Фаерволлом закрыл все что можно снаружи, кроме http/s, ssh, ftp.
    Изменил стандартный 22 порт на рандом из головы (шучу, мой номер квартиры :)). Поставил fail2ban.

    Кто что еще делает? Читал про системы мониторинга угроз и прочего, насколько они действенны, насколько они грузят и без того дохлую ВПСку и т.д.
     
  2. qwertyguru

    qwertyguru Мудрец

    Регистр.:
    22 фев 2017
    Сообщения:
    445
    Симпатии:
    402
    Если честно у меня не много всё коряво с серверами, но по сути в каждом офисе так в интернет доступ открыт, а ко мне открыт только vpn, за счет этого по сути порты все закрыты, причем у меня vpn создан костыльный, и там без доп настроек даже в жизни не подключиться со всеми танцами, честно говоря даже боюсь лезть в настройки ибо уверен, залезу всё порушу, вот так работает костыль который просто так к vpn не подключает :)
    Ну это про офис и офисные сервера, на офисных серверах только от части отключен интернет, точнее на одном он есть и то для определенных нужд, на остальных двух он не нужен следовательно и живут внутри сети.
    По VPS (у меня VDS но пусть будет VPS)у меня живет VPS у хостинга, но там плюшки защиты такие, первое, это автоскалинг, который поднимает мощность максимальных тарифов, скажем когда сервер работает при обычных нагрузках никаких проблем, а когда я поймал брут с китая, и ко мне стукнул ddos с диким обращением я получил уведомления о возросшей нагрузке следовательно по быстрому принял меры.
    Так это скажем у меня лентяя так настроено. У всех других может и как то иначе, вообще по этой теме и "пунктикам защиты" к @Sorcus уж он то точно расскажет, что где как прикрутить, до полного безумия и спокойствия в защите :)
     
    NULLED555 нравится это.
  3. Bibmaster

    Bibmaster Создатель

    Регистр.:
    26 янв 2016
    Сообщения:
    7
    Симпатии:
    0
    Я использую iptables, для упрощения можно пользоваться веб-мордой Webmin, ну и соответственно Apache отдельный пользователь, группа. правильно выставить права на запуск/выполнение/чтение скриптов. Для ip телефонии , если аппараты логинятся снаружи, то в iptables разрешаю данные адреса, плюс сложный пароль, в противном случае может быть куча звонков в Зимбабву)))
     
  4. cheery.mae

    cheery.mae Создатель

    Регистр.:
    19 май 2016
    Сообщения:
    40
    Симпатии:
    6
    Обычно я делаю только то, что разрешаю определенному IP войти в SSH. Кроме того, всегда выполняйте обновление и обновление не реже одного раза в неделю, чтобы убедиться, что у вас установлена последняя система.
     
  5. boberko426

    boberko426 Создатель

    Регистр.:
    29 окт 2013
    Сообщения:
    10
    Симпатии:
    1
    Безопасный вариант - доступ по вайтлисту айпи + актуальные обновления + впн и адекватные пароль. В остальном если сильно захотят - поломают.
     
  6. hroost

    hroost Создатель

    Регистр.:
    9 фев 2017
    Сообщения:
    19
    Симпатии:
    1
    В первом посте не уточнили о какой именно защите (от каких угроз) идет речь. Есть разные векторы атак, начиная с брута паролей и заканчивая уязвимостями и ддос атаками.
     
  7. Non-Stop

    Non-Stop

    Регистр.:
    9 июл 2007
    Сообщения:
    416
    Симпатии:
    36
    Можно подробнее ... как реализовываете?
    Через iptables или /etc/hosts.allow
     
  8. Yarius

    Yarius Создатель

    Регистр.:
    12 июл 2012
    Сообщения:
    49
    Симпатии:
    16
    Смысл ставить другой порт для ssh если nmap и все открытые порты будут видны? Советую подтянуть fail2ban, довольно гибкая и мощная штука, можно блокировать по странам, как пример, тот же Китай.
    Ну и не забываем iptables, борьбу с syn-флудом (надеюсь, в ДЦ стоит что-то от ddos), так же помним об maldetect, clamav и chkrootkit. Так же, стоит отключить неиспользуемые модули Apache, функции php, не забываем об обновлениях и бекапах.
    Это если в двух словах, а так да, векторов для атаки всегда несколько.
     
    Maybe нравится это.
  9. alex309

    alex309 Создатель

    Регистр.:
    4 сен 2008
    Сообщения:
    21
    Симпатии:
    1
    На ssh хорошо port knocking повесить.
     
  10. latteo

    latteo Эффективное использование PHP, MySQL

    Moderator
    Регистр.:
    28 фев 2008
    Сообщения:
    1.607
    Симпатии:
    1.534
    nmap редко запускают на скан всех портов - это уже больше похоже на преднамеренную атаку конкретного сервера, а при таком подходе fail2ban уже не поможет, хоть и ослабит.
    А вот сканы на стандартные порты и с простыми паролями типа admin/qwerty от школьников прелетают ежедневно. И здесь решение со сменой порта вполне разумно.