А. ВПС сервер (виртуелни приватни сервер), То је логичка партиција чврстог диска кроз виртуелну машину, а впс нам даје већу контролу над управљањем ресурсима у поређењу са услугом дељеног сервера.
ВПС је идеалан за оне који желе да користе сервер професионално, али по нижој цени од наменског, а такође и за оне који желе да покрену и раде тестове у администрацији сервера, али нису сигурни у техничке аспекте, ВПС сервер је добра опција за почетак. Може се користити за тестирање алата и вештина без трошења превише новца и излагања производног сервера.
Можемо створити ВПС како се види у водичу:
- Креирајте локални ВПС сервер
Или користите нека плаћања, постоје многе компаније које нуде ВПС сервер месечно или дневно, као што је ДигиталОцеан, за тестирање конфигурација у стварном окружењу.
Најважнија ствар када морамо да администрирамо сервер је да одлучимо које ће мере безбедности бити потребне. Иако постоје многе сигурносне мјере и алати, оне могу бити и контрапродуктивне јер троше ресурсе и можда неће допустити да неке апликације раде добро, па морамо бити свјесни ризика, потреба да се може одлучити о равнотежи између лакоће, перформансе и сигурност сервера.
У овом водичу ћу пружити низ препоручених конфигурација за сигуран ВПС
Блокирање приступа помоћу заштитни зидови
Заштитни зидови делују као баријера између општег Интернет саобраћаја и сервера. Важно је прегледати, филтрирати и блокирати унутрашњи и спољни саобраћај.
Кроз скуп правила која је конфигурисао администратор, сервер ће користити само одређене мрежне портове за овлашћене услуге. Остали портови нису коришћени и морају се безбедно заштитити иза заштитног зида како би се онемогућио сав саобраћај намењен овим местима.
За овај водич ћемо претпоставити да управљамо Линук ВПС сервером како бисмо усвојили мере безбедности. Да бисмо успоставили основна правила заштитног зида, морамо прво пратити које портове имамо отворене, за то користимо наредбу:
ифцонфигОдређујемо ИП:
нмап -сТ -О 192.168.0.11
Ово вам омогућава да знате који портови слушају и условљава употребу услуга у неким случајевима. Добро конфигурисање правила нашег заштитног зида добра је основа за безбедност сервера и мреже.
Доступно је много заштитних зидова, неки су:
- ИПЦоп заштитни зид
- ЦонфигСервер Сецурити & Фиревалл
Најчешће коришћени заштитни зид је Иптаблес који већ долази са Линуком, али нема графички интерфејс, из прозора терминала (повезаног преко ССХ -а) можемо користити следеће команде:
Блокирајте дати улазни ИП:
судо иптаблес -А УЛАЗИ -с 190.160.45.60 -ј ДРОПБлокирајте долазни ИП и порт помоћу Етхернет мрежног интерфејса или ожичене мреже:
иптаблес -А ИНПУТ -и етх0 -с 190.160.45.60 --дестинатион -порт 25 -ј ДРОПБлокирам долазни ИП, али путем ВиФи -а:
иптаблес -А УЛАЗ -и влан0 -с 190.160.45.60 -ј ДРОПАко уклоним -с ИП параметар и напустим порт, блокирам порт за било који ИП
Иптаблес је алат који се користи за управљање заштитним зидом нетфилтера укљученим у Линук језгро. Предност Иптаблес -а је што је прошао врло дубоке безбедносне провере како би се уверило да ради и да је користан.
Још један занимљив аспект је да можемо створити скрипту или интерфејс за дефинисање правила за иптаблес, иако већ постоји много доступних који вам могу омогућити конфигурацију са скуповима правила на врло флексибилан начин.
Безбедно користите ССХ за даљинску администрацију
Када морамо да управљамо сервером за који немамо локални приступ, морамо то учинити на даљину. За то се услуга користи путем протокола који се зове ССХ, што значи Сецуре Схелл, који омогућава да се сервером у потпуности управља помоћу командног тумача,
ССХ пружа могућност стварања и одржавања тунела за саобраћај између рачунара и сервера тако да се успостави сигурна веза јер тунел преноси податке преко шифроване везе.
Иако је сам протокол веома сигуран и опсежно је анализиран и безбедносно тестиран, можемо додати неке опције конфигурације како бисмо га учинили сигурнијим, као што је промените порт пошто је подразумевано порт ССХ везе порт 22, за ово се повезујемо путем ССХ -а, а затим уређујемо датотеку:
/ етц / ссх / ссхд_цонфигПовезујемо се помоћу следеће команде:
ссх корисник @ ип
Затим уређујемо датотеку и мењамо порт на други по нашем укусу који не омета ниједну услугу, на пример 9200:
нано / етц / ссх / ссхд_цонфиг
Снимамо и поново покрећемо ССХ тако да усваја нову конфигурацију, према линук дистрибуцији:
Федора, Центос
сбин / сервице ссхд рестартДебиан, Убунту
/етц/инит.д/ссхд рестартЗатим ћемо морати поново да приступимо, урадићемо то на следећи начин:
ссх корисник @ ип -п 9200Затим блокирамо порт 22 на овај начин да нас неће моћи скенирати и покушати напад грубом силом.
иптаблес -А ИЗЛАЗ -п тцп --дпорт 22 -ј ДРОПИнсталирајте ИПС или систем за спречавање упада
Систем за спречавање упада је софтвер који вам омогућава да надгледате и контролишете приступ на рачунарској мрежи ради заштите ресурса или сервера од напада и упада. Технологија за спречавање упада витална је допуна систему за откривање упада (ИДС), док ИПС функционише као заштитни зид, док ИДС анализира врсту промета која циркулише мрежом, али и проверава садржај и шта тај садржај ради.
Пример је Фаил2Бан, то је апликација развијена под Питхон -ом за спречавање упада, то је ИПС, који аутоматски делује тако што анализира и блокира удаљене везе које покушавају приступ грубом силом.
Фаил2бан не користи само свој дневник покушаја приступа, већ користи и записе из другог софтвера, попут иптаблес -а, који одређују правила за примену закључавања.
Можете користити правила која је креирао администратор или створити нова према сопственој конфигурацији, на пример блокирати ИП који није успео да приступи 3 пута.
Можемо из ССХ прозора или га преузети са његове званичне веб локације, ако се налази у складиштима нашег дистро -а, ми га инсталирамо.
апт-гет инсталл фаил2банЗатим га конфигуришемо уређивањем следеће датотеке:
нано /етц/фаил2бан/јаил.цонф
Овде уређујемо неке од најважнијих параметара
- игнореип: ип који никада неће бити блокиран.
- бантиме: време у секундама које ће трајати ИП блок.
- макретри: највећи број неуспелих покушаја приступа пре блокирања.
Затим можемо створити филтере за различите апликације које можемо пронаћи у директоријуму:
цд /етц/фаил2бан/филтер.д
Овај систем за спречавање упада омогућиће нам да ублажимо многе нападе и на тај начин повећамо општу сигурност наше ВПС конфигурације.
Фаил2бан је услуга која надгледа датотеке евиденције како би утврдила да ли је приступ легитиман корисник и ако не привремено блокира саобраћај са ИП адресе повезане са корисником који намерава да приступи неким услугама, било да је то фтп, ссх, е -пошта, веб итд.
Ово је једноставан начин за аутоматско блокирање метода грубе силе, јер ће блокирање узроковати да напад престане радити све док на то укажемо. Ово је обично довољно да обесхрабри даље покушаје грубе силе.
Имплементирати а систем за откривање упада или ИДС
Систем за откривање упада или ИДС је обавезан додатак систему за спречавање упада. ИДС открива измене датотека или записа извођењем поређења Против ових претходно регистрованих стања да бисте сазнали да ли су датотеке промењене или је било која конфигурација измењена и да забележите који је корисник то урадио.
Постоји много ИДС -а попут Снорт -а, које смо видели у водичу:
- Алати за спречавање и безбедност хакера
- Сурицата систем за откривање уљеза
- Јачање безбедности сервера и оперативних система.
Ови алати користе базу података системских датотека и штите конфигурацијске датотеке. Конфигурисањем правила и изузетака дефинишете које датотеке треба заштитити и шта треба пријавити, тако да када почнете да надзирете систем, можете прегледати извршења и све измене датотека које се надгледају.
Сви алати се могу конфигурисати да се повремено аутоматски проверавају са цроњобом, па чак и да примене обавештења путем е -поште у случају неуобичајених активности.
Ако узмемо на пример Снорт, инсталирамо га из спремишта:
апт-гет инсталл снорт
Затим идемо у директоријум где се налазе датотеке са правилима:
цд / етц / снорт / рулес
На пример, погледајмо датотеку мискл.рулес
нано мискл.рулесТамо где видимо да је наведено да сваки спољни или роот приступ корисника МиСКЛ услузи треба да буде обавештен.
Други пример је, на пример, надгледање програма за ћаскање са сервера или са рачунара на мрежи или са спољног рачунара који користи наш сервер.
нано цхат.рулес
Такође можемо да конфигуришемо сваку датотеку правила тако да открије преузимања из прегледача или приступ услузи, измену датотеке или одређене веб странице.
Сурицата је модернија од Снорт -а и Трипвире -а, јер ради као механизам за њушкање за анализу долазног и одлазног саобраћаја мрежног система. Међутим, потребно је много ресурса за анализу и откривање упада радећи двоструке дужности као ИДС и ИПС.
Такође има додатке за додељивање правила и анализу многих апликација и програма. Сурицата ради на свим слојевима ОСИ модела.
Проверите да ли има вируса и злонамерног софтвера помоћу Линук Малваре Детецт или ЦламАВ
Иако је Линук мање склон оваквим нападима, није имун на злонамерни софтвер. Алати безбедносног система, заједно са имплементацијом ИПС -а и ИДС -а за откривање покушаја упада, захтевају софтвер способан за претраживање и откривање злонамерног софтвера како би идентификовао трагове активности који указују на то да је у систему инсталиран неки опасан софтвер.
У упутству за откривање малвера у Линук -у (ЛМД) за заштиту Линукса објашњено је инсталирање и употреба овог алата за откривање злонамерног софтвера, не пропустите га.
За Линук системе постоји низ скенера злонамерног софтвера који се могу користити за периодичну проверу интегритета сервера. Линук Малваре Детецт, познат и као малдет или ЛЦД, популарна је опција која се може инсталирати и конфигурирати за скенирање познатих потписа злонамерног софтвера на основу његове базе података.
Може се покренути ручно за једнократна скенирања, а може се покренути и преко цроњоб-а ради редовних превентивних скенирања и претраживања, посебно ради провере е-поште и датотека које се фтп-ом могу отпремити на сервер. Извештаји о овим скенирањима се могу послати е -поштом администраторима сервера.
Да ли вам се допао и помогао овај водич?Можете наградити аутора притиском на ово дугме да бисте му дали позитиван поен