Вход:  Пароль:  
FreeSource: AltLinux/Dokumentacija/Bezopasnost ...
Free Source | Каталог | Изменения | НовыеКомментарии | Пользователи | Регистрация |
Эта страница была перенесена на altlinux.org. Текст на freesource.info заморожен.

Краткие заметки по минимальной защите сервера

Оглавление документа

На написание данного черновика навел меня вопрос в рассылке:

hi all
Скажу сразу, я не спец по безопасности...
...
PS
вопрос возник после того, как только что подняв машину завёл пользователя
admin c паролем admin (думал когда закончу работу поменяю) поставил ssh
и... пошёл на 10 мин в туалет. Когда вернулся дело было уже сделано – уже
кто-то приконектился и начал что-то на мою машину заливать. Удивительно
даже – маньяки какие-то... Я ж не супер-мега сервер какой-то, а рядовой
adsl-щик.

В этой заметке я хочу собрать советы и рекомендации, скорее идеи, как настроить некоторый уровень безопасности сервера или рабочей станции, при подключении к Интернет.
Эти рекомендации ни в коем случае не обеспечат абсолютной защиты вашего сервера (такой не существует), но большинство атак отразить помогут.


И так:

Проверяем, какие сервисы запущены и слушают порты

После установки необходимого ПО, проверьте, какие порты открыты.

Приведенная строка информирует нас о том, что на всех сетевых адресах открыт порт 993, и слушает его cyrus-master .
Да, я уверен, что этот сервис должен слушать этот порт (это IMAPS). Надписи вида 127.0.0.1:xxx в третьей колонке означают, что сервис работает только в пределах самой машины (считается безопасным).
Если вы обнаружите открытый порт и сервис, который вам не известен, разберитесь досконально, что это и для чего нужно, прежде чем отключать.
Если данный сервис нужен в локальной сети, но не должен быть доступен извне, посмотрите в настройки данного сервиса, наиболее вероятным параметром будет LISTEN ....
Например, настройки сервера ssh:

В моем примере данная настройка не используется, а вы поступайте по своему разумению.

Настраиваем firewall

Возможна ситуация, когда необходимый сервис не имеет такой настройки, и слушает все сетевые интерфейсы. В таком случае необходимо настроить iptables.
(Я предполагаю, что у вас именно этот пакет. В другом случае, берите на вооружение идею, а реализуйте ее тем инструментарием, который у вас есть).
Есть два пути настройки iptables, использовать тот файл настроек, который предусмотрен дистрибутивом, и написание собственного скрипта.
Различий мало...
Я привожу вариант настроек для /etc/sysconfig/iptables.


Более подробно почитайте на странице, подготовленной Виталием Липатовым.

Настраиваем сервисы

SSH
Минимально, нужно ограничить вход в систему для пользователей, которым это не нужно. Оставим только того, кто реально может и должен иметь доступ (и ограничим скорость попыток подключений).

По минимуму, все ...
Далее, имеет смысл правильно настроить ваш почтовый сервер, для того, чтобы через него не рассылали спам, но это уже другая статья (В конфигураций по умолчанию дистрибутивов ALT почтовик не смотрит в Интернет).


Ссылок на эту страницу нет


 
Файлов нет. [Показать файлы/форму]
Комментарии [Скрыть комментарии/форму]