Skocz do zawartości
Zaloguj się, aby obserwować  
IceBeast

Zabezpieczanie VPS

Polecane posty

Witam

Od niedawna jestem właścicielem i administratorem serwera VPS. Wszystko działa tak jak trzeba, ale jednak chciałbym mieć dobrze wszystko zabezpieczone. Niestety nie wiem co (a tym bardziej jak) mogę zabezpieczyć.

 

Czy moglibyście udzielić mi jakichś porad typu "co i jak" z dziedziny zabezpieczanie VPS? :)

 

Czy powinienem przejmować się atakami typu DDoS, czy jednak leży to w zakresie dostawcy usług (w tym przypadku ViHost)?

Edytowano przez IceBeast (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Na początek zaintaluj Fail2Ban i skonfiguruj według jakiegoś poradnika z netu.

 

Do apache'a polecam mod_evasive : http://www.varlog.pl...ez-mod_evasive/

 

Polecam 2 blogi, z których dowiesz się więcej na ten temat:

1. http://www.varlog.pl/

2. http://www.blueman.pl/

Edytowano przez Kolopik (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Możesz jeszcze zmienić port ssh, hasła powyżej 8 znaków (cyfry, litery duże i małe, jakieś znaki)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Możesz jeszcze zmienić port ssh, hasła powyżej 8 znaków (cyfry, litery duże i małe, jakieś znaki)

 

Odpowiednio skonfigurowany Fail2ban będzie banował ataki na ssh, na domyślnym porcie. Nmap'em możesz przeskanować porty i dowiesz się na jaki uruchomiony jest ssh.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ok, właśnie instaluję fail2bana ale mam pytanie.

Czy blokuje on również "normalne" logowanie do FTP z konta roota? Chciałbym zabezpieczyć na ip, ale mam dynamiczne, więc nie wiem czy w razie czego będę mógł przez FTP zmodyfikować na aktualne.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ok, właśnie instaluję fail2bana ale mam pytanie.

Czy blokuje on również "normalne" logowanie do FTP z konta roota? Chciałbym zabezpieczyć na ip, ale mam dynamiczne, więc nie wiem czy w razie czego będę mógł przez FTP zmodyfikować na aktualne.

 

Fail2ban nasłuchuje także na sftp.

 

\W pliku jail.conf powinieneś mieć coś takiego:

 

[ssh-|ddos]

 

enabled = false

port = ssh

filter = sshd-ddos

logpath = /var/log/auth.log

maxretry = 6

 

port = ssh

Po przecinku dopisz "sftp"

 

Powinno wyglądać tak:

 

[ssh-|ddos]

 

enabled = false

port = ssh,sftp

filter = sshd-ddos

logpath = /var/log/auth.log

maxretry = 6

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czyli jeśli przykładowo mam teraz ip 174.12.34.56 i dopiszę je do fail2bana, a później mi się zmieni np. na 174.12.34.78 to nie będę mógł się w żaden sposób dostać do serwera?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czyli jeśli przykładowo mam teraz ip 174.12.34.56 i dopiszę je do fail2bana, a później mi się zmieni np. na 174.12.34.78 to nie będę mógł się w żaden sposób dostać do serwera?

 

Gdzie chcesz dopisywać IP?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Do ignoreip.

Przepraszam, trochę mi się pomieszało od tych poradników :)

 

Nie dotyczy to samego fail2bana, ale ogólnie VPSa.

Dodatkowym zabezpieczeniem może być umożliwienie logowania się na serwer tylko z określonych adresów IP. W ten sposób jesteśmy niemal w 100% zabezpieczeni przed próbami ataków.

Edytujemy w tym celu plik /etc/hosts.allow

sshd : 127.0.0.1 : allow

sshd : TwojAdresIP : allow

sshd : TwojInnyAdresIP : allow

sshd : ALL : deny

 

Czyli jeśli w używając powyższego sposobu zabezpieczyłbym SSH i SFTP to czy mógłbym w jakikolwiek inny sposób dostać się do serwera w przypadku zmiany mojego dynamicznego IP?

Edytowano przez IceBeast (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Do ignoreip.

Przepraszam, trochę mi się pomieszało od tych poradników :)

 

Nie dotyczy to samego fail2bana, ale ogólnie VPSa.

 

 

Czyli jeśli w używając powyższego sposobu zabezpieczyłbym SSH i SFTP to czy mógłbym w jakikolwiek inny sposób dostać się do serwera w przypadku zmiany mojego dynamicznego IP?

 

Lepiej nie ryzykować. Bezpieczniejszym rozwiązaniem dla twojego dynamicznego IP będzie zablokowanie bezpośredniego logowania na root'a.

Edytowano przez Kolopik (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Możesz ewentualnie ustawić logowanie po ssh tylko z innego VPSa (najtańszy) i używać jako proxy (ustawić only ip VPSa drugiego) lub innym rozwiązaniem jest dokupić drugie IP i zrobić logowanie tylko na te IP (używane tylko do SSH).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A nie łatwiej, szybciej, taniej i bezpieczniej będzie ustawić logowanie po kluczu i wyłączenie logowania na hasło?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
[ssh-ddos]

 

enabled = false

port = ssh,sftp

filter = sshd-ddos

logpath = /var/log/auth.log

maxretry = 6

Sorry, mogę się mylić, ale tak domyslnie mysle że zamiast "false" powinno być true żeby ta funkcja odpaliła, ale to tylko moje przemyslenia.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Witam

Od niedawna jestem właścicielem i administratorem serwera VPS. Wszystko działa tak jak trzeba, ale jednak chciałbym mieć dobrze wszystko zabezpieczone. Niestety nie wiem co (a tym bardziej jak) mogę zabezpieczyć.

 

Czy moglibyście udzielić mi jakichś porad typu "co i jak" z dziedziny zabezpieczanie VPS? :)

 

Czy powinienem przejmować się atakami typu DDoS, czy jednak leży to w zakresie dostawcy usług (w tym przypadku ViHost)?

 

Co do zabezpieczenia dostępu po SSH to zdecydowanie skorzystaj z rady "d.v" i wprowadz autoryzację po kluczach. Ponadto w kwestii dynamicznego IP możesz zainteresować się np. "portnocking`iem":

 

http://www.portknocking.org/

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Sorry, mogę się mylić, ale tak domyslnie mysle że zamiast "false" powinno być true żeby ta funkcja odpaliła, ale to tylko moje przemyslenia.

Masz rację, Kacper mógł się pomylić i przekleił standardowy konfig bez poprawek.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

 

Sorry, mogę się mylić, ale tak domyslnie mysle że zamiast "false" powinno być true żeby ta funkcja odpaliła, ale to tylko moje przemyslenia.

 

Tak, tak. Pomyliłem się , przepraszam ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

rozmowa o bezpieczeństwie i dyskusja o logowaniu na roota przez FTP?? jedno wyklucza drugie :D

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Witam

Od niedawna jestem właścicielem i administratorem serwera VPS. Wszystko działa tak jak trzeba, ale jednak chciałbym mieć dobrze wszystko zabezpieczone. Niestety nie wiem co (a tym bardziej jak) mogę zabezpieczyć.

 

Czy moglibyście udzielić mi jakichś porad typu "co i jak" z dziedziny zabezpieczanie VPS? :)

 

Czy powinienem przejmować się atakami typu DDoS, czy jednak leży to w zakresie dostawcy usług (w tym przypadku ViHost)?

 

 

rozmowa o bezpieczeństwie i dyskusja o logowaniu na roota przez FTP?? jedno wyklucza drugie :D

 

 

Gdzie ty coś takiego widzisz?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Gdzie ty coś takiego widzisz?

A np. tu:

Czy blokuje on również "normalne" logowanie do FTP z konta roota?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

A np. tu:

 

 

Jedno zdanie a raczej pytanie o logowanie FTP jako root i to jest dyskusja? :D

 

Jedno pytanie czy to blokuje to nie znaczy że on chce się logować jako root.

 

rozmowa o bezpieczeństwie i dyskusja o logowaniu na roota przez FTP?? jedno wyklucza drugie :D

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Skoro pisze o logowaniu przez ftp na konto root po to, co by sobie pliki pozmieniać,

 

więc nie wiem czy w razie czego będę mógł przez FTP zmodyfikować na aktualne.

 

to faktycznie, wcale nie znaczy, że chce się na to konto logować... :P

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Rozumiem że miałeś na myśli to, że potencjalnych włamywaczy zainteresuje fakt, że używam konta roota? :)

Od razu podkreślam, że takowego konta nawet nie posiadam, więc nie róbcie sobie nadziei. Od właściciela otrzymałem po prostu konto z uprawnieniami roota o innym loginie ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

na jedno wychodzi - root nawet pod inną nazwą pozostaje rootem, z pełnym dostępem do wszystkiego. W przypadku włamu (jeśli źle zabezpieczony serwer, to zwykły brute-force wystarczy) cała zawartość serwera jest podana na tacy.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Potencjalnych włamywaczy zapewne zainteresuje to, że takie ważne hasło (obojętnie czy do konta o loginie root, czy ksiezniczka, ale mające uid=0) pływa sobie w przestworzach internetowych otwartym tekstem.

Edytowano przez kafi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ale jednak zawsze są mniejsze, choćby o 0,01% szanse na powodzenie włamania. Niech cracker straci te kilka sekund na znalezienia użytkownika ;)

Mimo wszystko zrobiłem wszystko co było w mojej mocy dzięki waszym poradom, dziękuję :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×