Защита сервера. Кто что делает?

Тема в разделе "Администрирование серверов", создана пользователем Maybe, 21 май 2017.

Модераторы: mefish
  1. Yarius

    Yarius Постоялец

    Регистр.:
    12 июл 2012
    Сообщения:
    50
    Симпатии:
    16
    Перед атакой всегда идет изучение жертвы, иначе это не атака и это делают даже школьники. fail2ban поможет и от брутфорса тоже, практика показывает, что именно fail2ban спокойно отбивает школоту, например, 3 попытки авторизации и бан ip часиков 3-5.
    а вариант со сменой порта ssh и "редко используют nmap" мне напоминает смену названия той или иной папки/директории, например admin на admin 123qwerty в популярной cms-ке и указание названия в robots.txt этой самой директории, дабы роботы не индексировали.
    Но есть и еще один вариант, это авторизация ssh по ключу.
     
  2. alex309

    alex309 Создатель

    Регистр.:
    4 сен 2008
    Сообщения:
    21
    Симпатии:
    1
    Если атака целенаправленная на Вас, то да. Если решили сломать именно Ваш сервис или сайт, то и подход будет более тщательный. 99,9% всех "атак" это скрипт-кидди балуется и они отшиваются банальным переносом порта на нестандартный. А fail2ban для них как серпом по яйцам ))). Сколько то лет назад начинал изучать freebsd, ну и выставил его в инет с открытым портом ssh в инет. Через пару дней в логах такая вакханалия творилась! Настроил авторизацию по ключу - уже веселее, но лог растёт от записей о неудачных попытках подключения. Перенёс порт на рандомный и тишина (про fail2ban я тогда не знал).
     
  3. Yarius

    Yarius Постоялец

    Регистр.:
    12 июл 2012
    Сообщения:
    50
    Симпатии:
    16
    люблю такое, когда приводят свой пример и на этом одном, частном случае делают вывод обо всем явлении. у меня всё.
    по теме, тс, будут вопросы, задавай постараемся ответить, одними рекомендациями и советами такой вопрос не решить.
     
  4. alex309

    alex309 Создатель

    Регистр.:
    4 сен 2008
    Сообщения:
    21
    Симпатии:
    1
    А кто Вам сказал, что это "один частный случай"? Я описал только первый опыт и его результаты и опыт довольно старенький. Один способ защиты редко может гарантировать безопасность - только смесь разных методов и способов, чтобы максимально усложнить жизнь кул хацкерам.
    К примеру из Вашего поста можно предположить, что fail2ban - это панацея, выставляем сервак 22-ым портом в мир защищаем его fail2ban-ом и спим спокойно. Периодически любуемся логами добавленных в бан IP. Зачем так делать, если можно перенести ssh на порт, например, 13824 и 99.9% атак даже не начнутся! fail2ban будет тупо простаивать, он конечно нужен, но работы ему убавится на пару порядков. Ну и конечно же в обязательном порядке ssh по ключу + запрет авторизации от имени root + надёжные пароли в keepass.
     
  5. IMoney

    IMoney Писатель

    Регистр.:
    4 июл 2017
    Сообщения:
    1
    Симпатии:
    0
    А подскажите насчет установки в качестве шлюза машинки с pfSense. Имеет смысл?
    Т.е. на виртуальном сервере и в обычной сети весь траффик пропускаем через шлюз с pfSense.
    На нем ставим snort с обновляемой базой и отслеживание всего трафика.
    Имеет смысл?
    В различных статьях нахваливают... а реальность?
     
  6. hroost

    hroost Создатель

    Регистр.:
    9 фев 2017
    Сообщения:
    21
    Симпатии:
    1
    а какие именно цели вы преследуете (со снортом и pfsens'om)? потому как в некоторых случая это будет все равно что из пушки по воробьям.
     
  7. alex309

    alex309 Создатель

    Регистр.:
    4 сен 2008
    Сообщения:
    21
    Симпатии:
    1
    Это хостинговый сервер или защита для локального компа? Надо учитывать, что для хостингового сервера с ростом количества трафика на нём будет расти нагрузка от снорта.
     
  8. Twickbot

    Twickbot Создатель

    Регистр.:
    3 июн 2017
    Сообщения:
    33
    Симпатии:
    8
    А я не порты SSH переношу, а просто повесил SSH на случайно сгенеренный IP из /64 подсетки IPv6, которые у меня есть на всех серверах. Туда же и FTP.
    За последние несколько лет не видел ни одной попытки коннекта, кроме собственных.
    ИМХО, /64 невозможно просканить за обозримое время.
     
  9. Evil Box

    Evil Box Создатель

    Регистр.:
    9 янв 2015
    Сообщения:
    27
    Симпатии:
    6
    Автор,
    Можно просто загнать все в vpn (ocserv или softethervpn помогут организовать все быстро и только под одну подсеть что бы трафик весь не гнать), наружу выбросить только 80 порт и его лучше заменить на https благо сертификатов бесплатных полно. Очень часто снифают пароли от FTP (он шлет все открытым текстом), а поскольку у большинства PAM аутентификация, эти данные подходят и для ssh
    для fail2ban можно настроить sendmail и указать в его настройках ящик, он сам будет стучать на нарушителей
     
  10. smallbuster

    smallbuster Создатель

    Регистр.:
    3 май 2013
    Сообщения:
    15
    Симпатии:
    2
    перенос всех нужных портов на другие по рандому, открыты только 80 + 443
    fail2ban и доступ к с ограничением по ipшникам или подсетям с помощью iptables