• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Первоначальная безопасность вашего Unix сервера.

Runinterface

Runinterface

Well-known member
24.10.2016
52
40
Добрый день форумчане.

Коллеги. Сегодня я попытаюсь вам рассказать о некоторых основах безопасности на вашем Unix сервере.

Для начала потребуется обозначить некоторые правила для себя если вы начинающий Unix администратор или просто "человек" который хочет сервер для каких либо нужд.
  1. Никогда и ни при каких условиях не давайте своих доступов сомнительным лицам.Только отдельные учетки, со специально заточенными под эту учетку правами.
  2. Не забывайте помучать свой сервер, если это сделаете не вы, это сделают за вас. Дыры есть везде просто нужно понимать где их искать. Инструменты для данных деяний в полной мере описаны на нашем форуме.
  3. Следите за обновлениями вашей системы читайте updatelog, да бы понимать что поменялось а, что нет, какие уязвимости закрылись и какие нет.(Если таковые имеются)
  4. Безопасность вашей системы отбирает удобность доступа. Но если вам неудобно заходить в вашу систему то злоумышленнику будет еще сложнее. Из-за не понимания как у вас там все устроено.
И так поехали делать нашу систему безопасной и не доступной для тех кто хочет ей навредить.

1. Как вариант прятать систему за VPN (к примеру OpenVPN), держать ее в закрытой сети доступ к которой имеется только у вас.

2. Первым делом, что мы должны сделать обратить внимание на прослушиваемые порты.
Код:
 $ netstat -plutn
Первоначальная безопасность вашего Unix сервера.

Закрывает все не нужные нам порты(можно отключить сервисы если вы их не собираетесь использовать) или используем не стандартные.

К примеру
Код:
$ iptables -A INPUT(или OUTPUT) -p tcp(UDP) --dport 80 -j DROP
.
Так же используем не стандартный порт для SSH доступа(к примеру 2230) и если занимаетесь администрированием данного сервера с одного места или через VPN стоит изменить ListenAddress 0.0.0.0 на адресс или пул адрессов с которых вы будете заходить по SSH.

Нас интересует блок выделеный на скриншоте ниже.Так же желательно использовать SSH KEY для авторизации, это куда безопаснее и удобнее чем пароли.

Первоначальная безопасность вашего Unix сервера.

После изменений не забываем про
Код:
 $ /etc/init.d/ssh restart (service ssh restart)
3.Один сервер на один основной сервис.

Эта система очень проста, но дает большой прирост к отказоустойчивости вашей системы. К примеру мы имеем сайт и база данного сайта должна находится на отдельном сервере и без доступа на внешку с локальным доступом к основному веб серверу.

Первоначальная безопасность вашего Unix сервера.

Как мы видим база сайта находится на отдельном сервере и никак не влияет на нагрузку сервера веб приложения.

NGINX PROXY (это тоже сервер) не распределяет нагрузку между серверами, для данного функционала можно использовать такое по как HAPROXY, но об этом думаю стоит написать отдельную статью.

4.Отключите не используемые сетевые интерфейсы, и IPV6. Не забывайте о важности смены пароля.
Код:
$ vim /etc/shadow
Первоначальная безопасность вашего Unix сервера.

{пользователь}:{пароль}:{последнее_изменение}:{максимум_дней}:{минимум_дней}:{Предупреждение}:{деактивировать}:{строк_годности}:

5.Не забываем про шифрование. (Паранойя наше второе имя, слава сатане!)

Не забывайте шифровать ваши данные, файлы, папки, пароли.
Для файлов каталогов существуют такие инструменты как:
  • GPG (Шифрование и дешифрование по паролю файлов)
  • ecryptfs (Для шифрования каталогов)
  • TrueCrypt (Для шифрования дисков)
6.Системы мониторинга.

Будьте всегда в курсе что происходит на вашем сервере, я использую Zabbix (но существует еще куча как платного по так opensourse проектов) для мониторинга процессов, места, нагрузки и еще кучи всего.

Используйте IDS (Intrusion Detection System) - система обнаружения вторжений.
Одни из самых популярных это:
  • Snort
  • Suricata
  • Bro
  • Kismet
Это позволит вам мониторить трафик попытки входа, и все все возможные угрозы для вашего сервера.

Не забывайте о физической безопасности вашего сервера. И будьте бдительны враги мало спят в отличие от вас.

Данная статья не является полным мануалом по приминению данных действий, большинство инфы гуглится на "раз-два".

Спасибо.
 
A

a113

Полезная статья. Еще можно юзать chroot или Jail, дабы дезинформировать злоумышленника.
 
  • Нравится
Реакции: Литиум
D

Dolean13

Можно выполнить chroot breakout.
И если я не ошибаюсь, то в окружении chroot'a также видно работающие процессы.
 
A

a113

Можно выполнить chroot breakout.
И если я не ошибаюсь, то в окружении chroot'a также видно работающие процессы.
Эксплойт за 2004 год и выполняется локально на машине от имени root`а. Работающие процессы в окружении chroot может и видно, но у субъекта, получившего доступ в chroot, нет реальных системных папок типа "/etc/passwd", "/etc/shadow", есть только их фейки. Сам не пробовал на практике, так что утверждать на все 100 я ничего не могу :)
 
$

$random_username

>>ecryptfs
и прочие
Постоянно в ней какие-то косяки находят.
 
  • Нравится
Реакции: Литиум
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб