A VPS poslužitelj (virtualni privatni poslužitelj), To je logička particija tvrdog diska kroz virtualni stroj, vps nam daje veću kontrolu nad upravljanjem resursima u odnosu na uslugu zajedničkog poslužitelja.
VPS je idealan za one koji žele koristiti poslužitelj profesionalno, ali po nižoj cijeni od namjenskog, a također i za one koji žele pokrenuti i napraviti testove u administraciji poslužitelja, ali nisu sigurni u tehničke aspekte, VPS poslužitelj je dobra opcija za početak. Može se koristiti za testiranje alata i vještina bez trošenja previše novca i izlaganja poslužitelja za proizvodnju.
Možemo stvoriti VPS kako se vidi u vodiču:
- Izradite lokalni VPS poslužitelj
Ili upotrijebite neka plaćanja, postoje mnoge tvrtke koje nude VPS poslužitelj mjesečno ili dnevno, kao što je DigitalOcean, za testiranje konfiguracija u stvarnom okruženju.
Najvažnija stvar kada moramo administrirati poslužitelj je odlučiti koje će sigurnosne mjere biti potrebne. Iako postoje mnoge sigurnosne mjere i alati, one također mogu biti kontraproduktivne jer troše resurse i možda neće dopustiti nekim aplikacijama da rade dobro, stoga moramo biti svjesni rizika, potreba da se može odlučiti o ravnoteži između lakoće, performanse i sigurnost poslužitelja.
U ovom ću vodiču pružiti niz preporučenih konfiguracija za siguran VPS
Blokiranje pristupa pomoću vatrozidi
Vatrozidi djeluju kao prepreka između općeg internetskog prometa i poslužitelja. Važno je pregledati, filtrirati i blokirati unutarnji i vanjski promet.
Kroz skup pravila koja je konfigurirao administrator, poslužitelj će koristiti samo određene mrežne portove za ovlaštene usluge. Ostali portovi nisu korišteni i moraju biti zaštićeni iza vatrozida kako bi se onemogućio sav promet namijenjen tim mjestima.
Za ovaj vodič ćemo pretpostaviti da upravljamo Linux VPS poslužiteljem kako bismo usvojili sigurnosne mjere. Da bismo uspostavili osnovna pravila vatrozida, prvo moramo pratiti koje portove imamo otvorene, za to koristimo naredbu:
ifconfigOdređujemo ip:
nmap -sT -O 192.168.0.11
To vam omogućuje da znate koji portovi slušaju i uvjetuje korištenje usluga u nekim slučajevima. Dobro konfiguriranje pravila našeg vatrozida dobra je osnova za sigurnost poslužitelja i mreže.
Dostupno je mnogo vatrozida, neki su:
- IPCop vatrozid
- Sigurnost i vatrozid ConfigServer
Najčešće korišteni vatrozid je Iptables koji već dolazi s Linuxom, ali nema grafičko sučelje, iz prozora terminala (povezanog putem SSH -a) možemo koristiti sljedeće naredbe:
Blokirajte zadani dolazni IP:
sudo iptables -A ULAZ -s 190.160.45.60 -j DROPBlokirajte dolazni IP i priključak putem Ethernet mrežnog sučelja ili ožičene mreže:
iptables -A ULAZ -i eth0 -s 190.160.45.60 -luka odredišta 25 -j DROPBlokiram dolazni IP, ali putem WiFi -a:
iptables -A ULAZ -i wlan0 -s 190.160.45.60 -j DROPAko uklonim -s IP parametar i napustim port, blokiram port za bilo koji IP
Iptables je alat koji se koristi za upravljanje vatrozidom netfiltera uključenim u jezgru Linuxa. Prednost Iptablesa je što je prošao vrlo duboke sigurnosne provjere kako bi se uvjerilo da radi i da je koristan.
Još jedan zanimljiv aspekt je da možemo stvoriti skriptu ili sučelje za definiranje pravila za iptables, iako već postoji mnogo dostupnih koji vam mogu omogućiti konfiguraciju sa skupovima pravila na vrlo fleksibilan način.
Sigurno koristite SSH za daljinsko upravljanje
Kad moramo upravljati poslužiteljem kojem nemamo lokalni pristup, moramo to učiniti na daljinu. Za to se usluga koristi putem protokola nazvanog SSH, što znači Secure Shell, koji omogućuje potpuno upravljanje poslužiteljem pomoću prevoditelja naredbi,
SSH pruža mogućnost stvaranja i održavanja prometnog tunela između računala i poslužitelja tako da se uspostavi sigurna veza jer tunel prenosi podatke putem šifrirane veze.
Iako je sam protokol vrlo siguran i opsežno je analiziran i sigurnosno testiran, možemo dodati neke konfiguracijske opcije kako bismo ga učinili sigurnijim, poput promijenite port jer je prema zadanim postavkama SSH priključak port 22, za to se povezujemo putem SSH -a, a zatim uređujemo datoteku:
/ etc / ssh / sshd_configPovezujemo se sljedećom naredbom:
ssh korisnik @ ip
Zatim uređujemo datoteku i mijenjamo port na drugi po našem ukusu koji ne ometa bilo koju uslugu, na primjer 9200:
nano / etc / ssh / sshd_config
Snimimo i ponovno pokrećemo SSH tako da prihvaća novu konfiguraciju, prema distribuciji linux:
Fedora, Centos
sbin / usluga sshd ponovno pokretanjeDebian, Ubuntu
/etc/init.d/sshd ponovno pokretanjeZatim ćemo morati ponovo pristupiti, učinit ćemo to na sljedeći način:
ssh korisnik @ ip -p 9200Zatim blokiramo port 22 na ovaj način, neće nas moći skenirati i pokušati napad grubom silom.
iptables -A IZLAZ -p tcp --dport 22 -j DROPInstalirajte IPS ili sustav za sprječavanje upada
Sustav za sprečavanje upada je softver koji vam omogućuje nadzor i kontrolu pristupa na računalnoj mreži radi zaštite resursa ili poslužitelja od napada i upada. Tehnologija sprječavanja upada vitalna je dopuna sustava za otkrivanje upada (IDS), dok IPS radi kao vatrozid, dok IDS analizira vrstu prometa koja cirkulira mrežom, ali i provjerava sadržaj i što taj sadržaj radi.
Primjer je Fail2Ban, to je aplikacija razvijena pod Pythonom za sprječavanje upada, to je IPS, koji automatski djeluje analizirajući i blokirajući udaljene veze koje pokušavaju pristup grubom silom.
Fail2ban ne koristi samo vlastiti dnevnik pokušaja pristupa, već koristi i zapise iz drugog softvera, poput iptablesa, koji određuju pravila za primjenu zaključavanja.
Možete koristiti pravila koja je stvorio administrator ili stvoriti nova prema vlastitoj konfiguraciji, na primjer blokirati IP koji nije uspio pristupiti 3 puta.
Možemo iz SSH prozora ili ga preuzeti sa njegove službene web stranice, ako dolazi u spremišta našeg distroa instaliramo ga.
apt-get install fail2banZatim ga konfiguriramo uređivanjem sljedeće datoteke:
nano /etc/fail2ban/jail.conf
Ovdje uređujemo neke od najvažnijih parametara
- ignoreip: ip koji nikada neće biti blokiran.
- bantime: vrijeme u sekundama koje će trajati IP blok.
- maxretry: najveći broj neuspjelih pokušaja pristupa prije blokiranja.
Tada možemo stvoriti filtre za različite aplikacije koje možemo pronaći u direktoriju:
cd /etc/fail2ban/filter.d
Ovaj sustav za sprječavanje upada omogućit će nam ublažavanje mnogih napada i time povećati opću sigurnost naše VPS konfiguracije.
Fail2ban je usluga koja nadzire datoteke dnevnika kako bi utvrdila je li pristup legitiman korisnik i ako ne privremeno blokira promet s IP adrese povezane s korisnikom koji namjerava pristupiti nekim uslugama, bilo da se radi o ftp, ssh, e -pošti, web itd.
Ovo je jednostavan način za automatsko blokiranje metoda grube sile, jer će blokiranje uzrokovati da napad prestane djelovati onoliko dugo koliko mi to naznačimo. To je obično dovoljno da se obeshrabre daljnji pokušaji grube sile.
Provedite a sustav za otkrivanje upada ili IDS
Sustav za otkrivanje upada ili IDS obvezni je dodatak sustavu za sprječavanje upada. IDS otkriva izmjene datoteka ili zapisa izvo enjem usporedbi Protiv ovih prethodno registriranih stanja treba znati jesu li datoteke promijenjene ili je neka konfiguracija izmijenjena te zabilježiti koji je korisnik to učinio.
Postoji mnogo IDS -ova poput Snort -a, koje smo vidjeli u vodiču:
- Alati za sprečavanje hakera i sigurnost
- Sustav za otkrivanje uljeza Suricata
- Jačanje sigurnosti poslužitelja i operativnih sustava.
Ovi alati koriste bazu podataka sistemskih datoteka i štite konfiguracijske datoteke. Konfiguriranjem pravila i iznimaka definirate koje datoteke želite zaštititi i što treba prijaviti, tako da kada počnete nadzirati sustav, možete pregledati izvršenja i sve izmjene datoteka koje se nadziru.
Svi alati mogu se konfigurirati tako da se s vremena na vrijeme automatski provjeravaju s cronjobom, pa čak i implementiraju obavijesti e -poštom u slučaju neobičnih aktivnosti.
Uzmemo li na primjer Snort, instaliramo ga iz spremišta:
apt-get install snort
Zatim idemo u direktorij u kojem se nalaze datoteke pravila:
cd / etc / snort / rules
Na primjer, pogledajmo datoteku mysql.rules
nano mysql.rulesTamo gdje vidimo da je potrebno obavijestiti svaki vanjski ili korijenski pristup korisnika MySQL usluzi.
Drugi primjer je, na primjer, praćenje programa za chat s poslužitelja ili s računala na mreži ili s vanjskog računala koje koristi naš poslužitelj.
nano chat.rula
Također možemo konfigurirati svaku datoteku pravila za otkrivanje preuzimanja iz preglednika ili pristupa usluzi, izmjenu datoteke ili određene web stranice.
Suricata je modernija od Snort -a i Tripwire -a, budući da radi kao mehanizam za njuškanje za analizu dolaznog i odlaznog prometa mrežnog sustava. Međutim, resursi su zahtjevni za analizu i otkrivanje upada radeći dvostruke dužnosti kao IDS i IPS.
Također ima dodatke za dodjeljivanje pravila i analizu mnogih aplikacija i programa. Suricata radi na svim slojevima OSI modela.
Provjerite viruse i zlonamjerni softver pomoću Linux Malware Detect ili ClamAV
Iako je Linux manje sklon takvim vrstama napada, nije imun na zlonamjeran softver. Alati sigurnosnog sustava, zajedno s implementacijom IPS -a i IDS -a za otkrivanje pokušaja upada, zahtijevaju softver sposoban za pretraživanje i otkrivanje zlonamjernog softvera za identifikaciju tragova aktivnosti koji ukazuju na to da je u sustavu instaliran neki opasni softver.
U vodiču Linux Malte Detect (LMD) za zaštitu Linuxa objašnjeno je instaliranje i korištenje ovog alata za otkrivanje zlonamjernog softvera, nemojte to propustiti.
Za Linux sustave dostupni su brojni skeneri zlonamjernog softvera koji se mogu koristiti za povremenu provjeru integriteta poslužitelja. Linux Detect Malware Detect, također poznat kao maldet ili LCD, popularna je opcija koja se može instalirati i konfigurirati za traženje poznatih potpisa zlonamjernog softvera na temelju njegove baze podataka.
Može se pokrenuti ručno za jednokratna skeniranja, a može se pokrenuti i putem cronjoba za pokretanje redovitih preventivnih skeniranja i pretraživanja, posebno za provjeru e-pošte i datoteka koje se ftp-om mogu prenijeti na poslužitelj. Izvješća o tim skeniranjima mogu se poslati e -poštom administratorima poslužitelja.
Je li vam se svidio i pomogao ovaj vodič?Autor možete nagraditi pritiskom na ovaj gumb kako biste mu dali pozitivan bod