Страницы

Поиск по вопросам

суббота, 21 декабря 2019 г.

Как обезопасить домашний сервер?

#безопасность #сервер #ubuntu 


Есть ubuntu сервер, домашний пк. На нем крутятся некоторые сайты + ftp файл шара.Вопросы
следущие, как можно обезопасить максимально сервер?Делаются бэкапы регулярноNginx,
как front-end к апачу.mysql есть, каждый сайт со своим пользователем к ней конектится.
Есть phpmyadminВещается ssh + ftp (proftpd)Вопросы: Какие надо действия предпринять,
   чтобы все было максимально    безопасно?Что надо почитать по теме?Какие вообще элементарные
действия стоит предпринимать, где    про них почитать? (из разряда не    сидеть под
рутом, сложные пароли,    везде разные пароли и т.д.)Какой консольный антивирус посоветуете?Что
нужно регулярно проверять, логи? Какие и где их читать?Любые книги и статьи по теме
приветствуются.


Ответы

Ответ 1


не использовать дефолтные порты порты (например 3306 для mySQL или 22 для ssh)апач
запускать под специально для него созданным пользователем с минимальными правамиchroot'ить
то, что может дать доступ к системе (например апач)логи обычно лежат в /var/logиспользовать
iptables, fail2ban и т.п.вот кой-какие антивирусы для linux


Ответ 2


SElinuxРегулярный chkrootkitОтключить IPv6 (если не используешь)Десять раз перечитай
sshd_conf (если по ssh ходит куча народа - читай это)


Ответ 3


Закрыть фаерволлом все порты, которые не должны смотреть наружу, например я сомневаюсь,
что происзодит удаленное подключение к mysql, сделовательно запретить этот порт для
внешних соединений. phpmyadmin все же лучше повесить на https, а в идеале закрыть через
.htaccess для всех, кроме разрешенных. Если невозвожно, то повесить на https обязательно.ssh
-- если не нужен для любых внещних соединений -- закрыть фаером, если нужен узкому
кругу лиц -- открыть по разрешенным ип адресам либо как минимум дать доступ по ключу,
а не по паролю. Так же настроить иптаблес для логгирования всех попыток подключиться
по ssh, если оставить его смотреть на ружу для всех. так же можно через iptables настроить
для ssh количесво поключений с одного ип за некоторый промежуток времени, что позволит
избавиться от брутфорсеров.Антивирусы -- наверное самый популярный clamav. имеет моды
для апача,proftpd и разных других, позволяет налету сканировать файлы на вирусы.По
поводу статей:настройка безопасного opensshнастройка анонимного ftp


Ответ 4


А как насчёт использовать амазон?
Не используй стандартные порты, доступ по ssh можно через vpn настроить
Не используй пароли, доступ по ключам

Автор: на
Ярлыки: , , ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)