Защита сервера. Кто что делает?

Тема в разделе "Администрирование серверов", создана пользователем Maybe, 21 май 2017.

Модераторы: mefish
  1. mikhailnov

    mikhailnov Постоялец

    Регистр.:
    10 фев 2015
    Сообщения:
    52
    Симпатии:
    2
    Иногда навешиваю http-авторизацию веб-сервером поверх входа в админки Wordpress/Joomla, чтобы закрыть от перебора уязвимостей ботами. Защита не очень, но пойдет.
     
  2. bolivarnsk

    bolivarnsk Создатель

    Регистр.:
    1 авг 2009
    Сообщения:
    20
    Симпатии:
    15
    Меняем порт SSH на рандомный, запрещаем логин root, в IPTABLES можно ограничить доступ к порту по IP, Logwatch и
    logcheck в помощь, + tripware для мониторинга изменений в файловой системе (настройка конечно), можно мониторить сайты таким образом, но лучше написать свой скриптик обхода
     
  3. Igdiven

    Igdiven Писатель

    Регистр.:
    17 окт 2018
    Сообщения:
    9
    Симпатии:
    0
    На Гитхабе есть такие скрипты.
     
  4. black_prince

    black_prince Писатель

    Регистр.:
    9 июн 2018
    Сообщения:
    6
    Симпатии:
    3
    У меня например авторизация в SSH идёт не по паролю а по ключам, ну и FTP полностью отрублено, и вообще никаких проблем
     
  5. Chifth

    Chifth Постоялец

    Регистр.:
    29 фев 2016
    Сообщения:
    129
    Симпатии:
    64
    Недавно тоже искал способ защитить сеть конторы от брутфорсеров.
    Личное ИМХО - научиться работать с IPTABLES.
    Тогда можно практически на любой системе реализовать проброс портов, блокировку IP с частыми запросами, Port Knocking и даже ловушку для ботов (после нескольких попыток подключения на порты из определённого диапазона - дроп или TARPIT соединений). Получится что самому можно долбиться в один порт сколько себе настроишь, а боты которые просканируют 3-5 разных портов - сразу в бан.
    Но конечно всегда и везде советуют юзать авторизацию по ключу, не светить RDP наружу и т.д. ...
    Но вот такой я рукожоп и лентяй :)

    //я не супер специалист, так что не стоит сразу материть какой я неграмотный. Сам постоянно ищу компромисс между защитой и удобством.
    Например чтобы всегда с любого устройства иметь доступ к серверу.
    Вот ссылка на нормально расписаный мануал + примеры в конце https://ru.wikibooks.org/wiki/Iptables
    Сам по нему учился, ибо в гугле большинство готовых решений написаны на старых версиях и на новых не работают.
    Получается даже на домашнем роутере на OpenWRT сделать более-менее нормальный фильтр
     
  6. kxknet

    kxknet Рекламодатель

    Регистр.:
    23 сен 2006
    Сообщения:
    103
    Симпатии:
    15
    Более менее нормальные фильтры проще имхо, делать на Микротиках, там всё визуально:)
     
  7. ELVEON2

    ELVEON2 Создатель Нарушитель

    Регистр.:
    6 дек 2018
    Сообщения:
    27
    Симпатии:
    0
    Меняем порт для SSH + подключение с использованием сертификата.
     
  8. Bibmaster

    Bibmaster Создатель

    Регистр.:
    26 янв 2016
    Сообщения:
    11
    Симпатии:
    0
    iptables, failed2ban, ssh + ключи
     
  9. gullivai

    gullivai Писатель

    Регистр.:
    12 дек 2017
    Сообщения:
    3
    Симпатии:
    0
    Me too use ssh, firewall.
     
  10. fourekmoon

    fourekmoon Создатель

    Регистр.:
    23 янв 2020
    Сообщения:
    15
    Симпатии:
    0
    Apache сохраняет логи веб-сервера по умолчанию в "/var/log/httpd/". Логи - очень важная вещь, позволяющая посмотреть, например, не совершались ли какие-либо попытки проникновения в ваш веб-сервер (затем вы сможете проверить IP адреса и время). Они записывают ВСЕ попытки подключения. Другая хорошая вещь, которую можно сделать с лог-файлами - это перемещение их в другие места (на тот случай, если кто-нибудь сможет проникнуть на ваш веб-сервер и захочет замести следы, но не найдет логи).

    Хорошим способом является отправка вам электронного сообщения, когда происходит что-то необычное (например, несколько попыток обойти защиту вебсервера). Таким образом вы можете установить отправку сообщений на пейджер или ваш мобильный телефон. ;)

    Привилегии

    Вы должны ВСЕГДА запускать веб-сервер с самыми низкими возможными привилегиями. Например, ВСЕГДА запускайте Apache с правами "nobody", но НИКОГДА с правами "root". Таким образом, если кто-то и проникнет в ваш веб-сервер, то он не сможет сделать ничего серьезного, если, конечно, не
    установлено больше никаких других сервисов (вот почему не следует устанавливать никаких других сервисов, кроме Apache (и "ssh", если хотите)).

    CGI и PHP Скрипты

    Вы должны быть предельно осторожны со своими CGI и PHP скриптами!! Огромный процент дыр в безопасности приходится на долю тех самых скриптов и программ. Вот почему вы должны ВСЕГДА проверять надежность скриптов и программ перед установкой их на вашем веб-сервере. Вы также
    должны удалить все CGI, идущие в поставке с Apache.

    Шифрование

    Вы должны знать, что возможен перехват секретной информации путем сниффанья пакетов. Поэтому вы должны использовать шифрование для передачи информации между сервером и броузером.
    Для шифрования данных вы можете воспользоваться модулем для Apache (mod_ssl - secure sockets layer).

    Секретная Информация в Оффлайне

    Если вы имеете дело с сайтом, занимающимся электронной коммерцией, то вы НЕ должны сохранять секретную информацию на серверной машине. Тогда где ее хранить? Что ж, лучшее, что вы можете сделать, так это подключение другого оффлайнового компьютера к своему серверу. Для соединения двух машин используйте однонаправленный кабель (таким образом информация может быть передана оффлайновой машине сервером, но получение информации с этой машины через сервер будет невозможно).

    Создание Модифицированных Версий

    Apache распространяется с открытым исходным кодом. Поэтому, если вы захотите модифицировать программу, то вы сможете это сделать. Это очень полезно, так как многие эксплоиты работают в соответствии с исходным кодом по умолчанию, и если вы немного модифицируете код, то
    эксплоиты имеют мало шансов на выполнение своей задачи. Например, вы можете изменить место хранения лог-файлов.