A Server VPS (Virtual Private Server)„Je to logický oddíl pevného disku prostřednictvím virtuálního počítače, vps nám poskytuje větší kontrolu nad správou zdrojů ve srovnání se službou sdíleného serveru.
VPS je ideální pro ty, kteří chtějí používat server profesionálně, ale za nižší cenu než dedikovaný server, a také pro ty, kteří chtějí začít a provádět testy v administraci serverů, ale nejsou si jisti technickými aspekty, VPS server je dobrá volba pro spuštění. Lze jej použít k testování nástrojů a dovedností, aniž byste utráceli příliš mnoho peněz a ohrožovali produkční server.
Můžeme vytvořit VPS, jak je vidět v tutoriálu:
- Vytvořte místní server VPS
Nebo použijte nějaké platby, existuje mnoho společností, které nabízejí server VPS za měsíc nebo za den, například DigitalOcean, k testování konfigurací v reálném prostředí.
Nejdůležitější věcí, kdy musíme spravovat server, je rozhodnout, jaká bezpečnostní opatření, která přijmeme, budou nezbytná. Přestože existuje mnoho bezpečnostních opatření a nástrojů, mohou být také kontraproduktivní, protože spotřebovávají zdroje a nemusí umožnit některým aplikacím fungovat dobře, takže si musíme být vědomi rizik, potřeb, abychom se mohli rozhodnout pro rovnováhu mezi snadností, výkon a bezpečnost serveru.
V tomto tutoriálu poskytnu řadu doporučených konfigurací pro bezpečný VPS
Blokování přístupu pomocí firewally
Firewally fungují jako bariéra mezi obecným internetovým provozem a serverem. Je důležité kontrolovat, filtrovat a blokovat interní a externí provoz.
Prostřednictvím sady pravidel, která jsou konfigurována správcem, bude server používat pouze autorizované síťové porty pro autorizované služby. Zbytek portů nebyl použit a musí být chráněn bezpečně za bránou firewall, aby byl odepřen veškerý provoz určený pro tato místa.
V tomto kurzu budeme předpokládat, že spravujeme server Linux VPS, abychom přijali bezpečnostní opatření. Abychom vytvořili základní pravidla brány firewall, musíme nejprve sledovat, které porty máme otevřené, a proto používáme příkaz:
ifconfigUrčujeme IP:
nmap -sT -O 192.168.0.11
To vám umožní vědět, které porty naslouchají, a v některých případech podmiňovat používání služeb. Dobrá konfigurace pravidel naší brány firewall je dobrým základem pro zabezpečení serveru a sítě.
Existuje mnoho firewallů, z nichž některé jsou:
- IPCop Firewall
- Zabezpečení a brána firewall ConfigServer
Nejpoužívanějším firewallem jsou Iptables, které již jsou součástí Linuxu, ale nemá grafické rozhraní, z okna terminálu (připojeného přes SSH) můžeme použít následující příkazy:
Blokovat danou příchozí IP:
sudo iptables -A VSTUP -s 190.160.45.60 -j DROPBlokovat příchozí IP a port pomocí ethernetového síťového rozhraní nebo kabelové sítě:
iptables -A VSTUP -i eth0 -s 190,160,45,60 -cílový port 25 -j DROPBlokuji příchozí IP, ale pomocí WiFi:
iptables -A VSTUP -i wlan0 -s 190,160,45,60 -j DROPPokud odstraním parametr -s IP a ponechám port, zablokuji port pro jakoukoli IP
Iptables je nástroj používaný ke správě brány firewall netfilter, která je součástí jádra Linuxu. Výhodou Iptables je, že prošel velmi důkladnými bezpečnostními audity, aby bylo zajištěno, že funguje a je užitečný.
Dalším zajímavým aspektem je, že můžeme vytvořit skript nebo rozhraní pro definování pravidel pro iptables, i když je již k dispozici mnoho, které vám umožňují velmi flexibilní konfiguraci sad pravidel.
Používejte SSH bezpečně pro vzdálenou správu
Když musíme spravovat server, ke kterému nemáme místní přístup, musíme to udělat vzdáleně. K tomu je služba využívána prostřednictvím protokolu SSH, což je zkratka pro Secure Shell, který umožňuje úplnou správu serveru pomocí interpretů příkazů,
SSH poskytuje možnost vytvářet a udržovat přenosový tunel mezi počítačem a serverem, aby bylo vytvořeno zabezpečené připojení, protože tunel přenáší data přes šifrované připojení.
Zatímco samotný protokol je velmi bezpečný a byl rozsáhle analyzován a testován na zabezpečení, můžeme přidat některé možnosti konfigurace, aby byl bezpečnější, jako např. změňte port, protože ve výchozím nastavení je port připojení SSH port 22Za tímto účelem se připojíme přes SSH a poté upravíme soubor:
/ etc / ssh / sshd_configPřipojujeme se pomocí následujícího příkazu:
ssh uživatel @ ip
Dále upravíme soubor a změníme port na jiný podle našeho vkusu, který neruší žádnou službu, například 9200:
nano / etc / ssh / sshd_config
Zaznamenáváme a restartujeme SSH takže přijme novou konfiguraci podle distribuce linuxu:
Fedora, Centos
sbin / service sshd restartDebian, Ubuntu
/etc/init.d/sshd restartPoté budeme muset přistupovat znovu, uděláme to následovně:
ssh uživatel @ ip -p 9200Potom zablokujeme port 22 tímto způsobem, že nás nebudou moci skenovat a pokusit se o útok hrubou silou.
iptables -A VÝSTUP -p tcp --dport 22 -j DROPNainstalujte si IPS nebo systém prevence narušení
Systém prevence narušení je software, který vám umožňuje monitorovat a řídit přístup v počítačové síti za účelem ochrany zdrojů nebo serveru před útoky a vniknutími. Technologie prevence narušení je zásadním doplňkem systému detekce narušení (IDS), zatímco IPS funguje jako brána firewall, zatímco IDS analyzuje, jaký typ provozu koluje v síti, ale také kontroluje obsah a co tento obsah dělá.
Příkladem je Fail2Ban, je to aplikace vyvinutá v Pythonu pro prevenci narušení, je to IPS, který automaticky funguje tak, že analyzuje a blokuje vzdálená připojení, která se pokoušejí o přístup hrubou silou.
Fail2ban nejenže používá vlastní protokol pokusů o přístup, ale také používá protokoly z jiného softwaru, například iptables, které specifikují pravidla pro použití zámku.
Můžete použít pravidla vytvořená správcem nebo vytvořit nová podle vlastní konfigurace, například zablokovat adresu IP, ke které se nepodařilo získat přístup 3krát.
Můžeme z okna SSH nebo jej stáhnout z jeho oficiálních webových stránek, pokud se objeví v úložištích našeho distribuce, nainstalujeme jej.
apt-get install fail2banPoté jej nakonfigurujeme úpravou následujícího souboru:
nano /etc/fail2ban/jail.conf
Zde upravujeme některé z nejdůležitějších parametrů
- ignoreip: IP, která nebude nikdy blokována.
- bantime: čas v sekundách, po který bude blok IP trvat.
- maxretry: maximální počet neúspěšných pokusů o přístup před zablokováním.
Poté můžeme vytvořit filtry pro různé aplikace, které můžeme najít v adresáři:
cd /etc/fail2ban/filter.d
Tento systém prevence narušení nám umožní zmírnit mnoho útoků, a tím zvýšit obecné zabezpečení naší konfigurace VPS.
Fail2ban je služba, která monitoruje soubory protokolu, aby určila, zda je přístup legitimním uživatelem, a pokud ne dočasně zablokovat provoz z adresy IP přidružené k uživateli, který má v úmyslu přistupovat k některým službám, ať už jde o ftp, ssh, e -mail, web atd.
Toto je snadný způsob, jak automaticky blokovat metody hrubé síly, protože jeho zablokování způsobí, že útok přestane fungovat tak dlouho, jak uvedeme. To obvykle stačí k odrazení od dalších pokusů o hrubou sílu.
Implementovat a systém detekce vniknutí nebo IDS
Systém detekce narušení nebo IDS je povinným doplňkem systému prevence narušení. IDS detekuje úpravy souborů nebo záznamů spuštěním porovnávání Proti těmto dříve registrovaným stavům vědět, zda byly soubory změněny nebo byla změněna jakákoli konfigurace, a zaznamenat, který uživatel to udělal.
Existuje mnoho IDS jako Snort, které jsme viděli v tutoriálu:
- Nástroje pro prevenci a zabezpečení hackerů
- Suricata Intruder Detection System
- Posílení zabezpečení serverů a operačních systémů.
Tyto nástroje používají databázi systémových souborů a chrání konfigurační soubory. Konfigurací pravidel a výjimek definujete, které soubory mají být chráněny a co by mělo být hlášeno, takže když začnete monitorovat systém, můžete kontrolovat spuštění a jakékoli úpravy sledovaných souborů.
Všechny nástroje lze nakonfigurovat tak, aby se čas od času automaticky kontrolovaly pomocí cronjob a dokonce implementovaly e -mailová oznámení v případě neobvyklé aktivity.
Vezmeme -li například Snort, nainstalujeme jej z úložišť:
apt-get install snort
Poté přejdeme do adresáře, kde jsou soubory pravidel:
cd / etc / snort / pravidla
Podívejme se například na soubor mysql.rules
nano mysql.rulesKde vidíme, je uvedeno, že by měl být informován jakýkoli externí nebo root uživatelský přístup ke službě MySQL.
Dalším příkladem je například monitorování chatovacích programů jak ze serveru, tak z počítače v síti nebo z externího počítače, který používá náš server.
nano chat.rules
Každý soubor pravidel můžeme také nakonfigurovat tak, aby detekoval stahování z prohlížeče nebo přístup ke službě, úpravu souboru nebo konkrétní webové stránky.
Suricata je modernější než Snort a Tripwire, protože funguje jako sniffer engine pro analýzu příchozího a odchozího provozu síťového systému. Je však náročné na zdroje analyzovat a detekovat vniknutí dvojím výkonem jako IDS a IPS.
Má také doplňky pro přiřazování pravidel a analýzu mnoha aplikací a programů. Suricata funguje na všech vrstvách modelu OSI.
Zkontrolujte viry a malware pomocí Linux Malware Detect nebo ClamAV
Přestože je Linux k těmto typům útoků méně náchylný, není imunní vůči škodlivému softwaru. Nástroje bezpečnostního systému ve spojení s implementací IPS a IDS k detekci pokusů o vniknutí vyžadují software schopný vyhledávat a detekovat malware k identifikaci stop aktivity, které naznačují, že v systému. Server je nainstalován nějaký nebezpečný software.
V tutoriálu Linux Malware Detect (LMD) k zabezpečení Linuxu byla vysvětlena instalace a použití tohoto nástroje k detekci malwaru, to si nenechte ujít.
Pro systémy Linux je k dispozici řada skenerů malwaru, které lze použít k pravidelnému ověřování integrity serverů. Linux Malware Detect, známý také jako maldet nebo LCD, je oblíbená možnost, kterou lze nainstalovat a nakonfigurovat tak, aby vyhledávala známé malwarové podpisy na základě její databáze.
Lze jej spustit ručně pro jednorázové kontroly a lze jej také spustit pomocí cronjob pro provádění pravidelných preventivních skenů a vyhledávání, zejména pro kontrolu e-mailů a souborů, které lze nahrávat pomocí ftp na server. Zprávy o těchto skenech lze zaslat e -mailem správcům serveru.
Líbil se vám tento návod a pomohl mu?Autora můžete odměnit stisknutím tohoto tlačítka, čímž mu dáte kladný bod