A VPS serveris (virtuālais privātais serveris), Tas ir loģisks cietā diska nodalījums, izmantojot virtuālo mašīnu, vps dod mums lielāku kontroli pār resursu pārvaldību, salīdzinot ar koplietotā servera pakalpojumu.
VPS ir ideāli piemērots tiem, kas vēlas izmantot serveri profesionāli, bet par zemākām izmaksām nekā īpašs serveris, kā arī tiem, kas vēlas sākt un veikt testus serveru administrēšanā, bet nav pārliecināti par VPS tehniskajiem aspektiem. serveris ir laba iespēja sākt. To var izmantot, lai pārbaudītu rīkus un prasmes, netērējot pārāk daudz naudas un neapdraudot ražošanas serveri.
Mēs varam izveidot VPS, kā redzams apmācībā:
- Izveidojiet vietējo VPS serveri
Vai arī izmantojiet dažus maksājumus, daudzi uzņēmumi piedāvā VPS serveri mēnesī vai dienā, piemēram, DigitalOcean, lai pārbaudītu konfigurācijas reālā vidē.
Vissvarīgākais, administrējot serveri, ir izlemt, kādi drošības pasākumi būs nepieciešami. Lai gan ir daudz drošības pasākumu un rīku, tie var būt arī neproduktīvi, jo tie patērē resursus un var neļaut dažām lietojumprogrammām labi darboties, tāpēc mums ir jāapzinās riski, vajadzības, lai spētu izlemt par līdzsvaru starp vieglumu, servera veiktspēja un drošība.
Šajā apmācībā es sniegšu virkni ieteicamo konfigurāciju drošam VPS
Piekļuves bloķēšana ar ugunsmūri
Ugunsmūri darbojas kā šķērslis starp vispārējo interneta trafiku un serveri. Ir svarīgi pārskatīt, filtrēt un bloķēt iekšējo un ārējo satiksmi.
Izmantojot administratora konfigurētu noteikumu kopumu, serveris autorizētajiem pakalpojumiem izmantos tikai noteiktus tīkla portus. Pārējās ostas nav izmantotas, un tās ir droši jāaizsargā aiz ugunsmūra, lai liegtu visu satiksmi, kas paredzēta šīm vietām.
Šajā apmācībā mēs pieņemsim, ka mēs pārvaldām Linux VPS serveri, lai veiktu drošības pasākumus. Lai izveidotu ugunsmūra pamatnoteikumus, mums vispirms ir jāseko, kuri porti mums ir atvērti, tāpēc mēs izmantojam komandu:
ifconfigMēs nosakām ip:
nmap -sT -O 192.168.0.11
Tas ļauj jums zināt, kuras ostas klausās, un dažos gadījumos nosacīt pakalpojumu izmantošanu. Laba ugunsmūra noteikumu konfigurēšana ir labs pamats servera un tīkla drošībai.
Ir pieejami daudzi ugunsmūri, daži no tiem:
- IPCop ugunsmūris
- ConfigServer drošība un ugunsmūris
Visbiežāk izmantotais ugunsmūris ir Iptables, kas jau ir iekļauts Linux, bet tam nav grafiska interfeisa, no termināļa loga (savienots, izmantojot SSH) mēs varam izmantot šādas komandas:
Bloķēt noteiktu ienākošo IP:
sudo iptables -A INPUT -s 190.160.45.60 -j DROPIenākošā IP un porta bloķēšana, izmantojot Ethernet tīkla saskarni vai vadu tīklu:
iptables -A INPUT -i eth0 -s 190.160.45.60 -galamērķa ports 25 -j DROPEs bloķēju ienākošo IP, bet izmantojot WiFi:
iptables -A INPUT -i wlan0 -s 190.160.45.60 -j DROPJa es noņemu parametru -s IP un atstāju ostu, es bloķēju portu jebkuram IP
Iptables ir rīks, ko izmanto Linux kodolā iekļautā tīkla filtra ugunsmūra pārvaldīšanai. Iptables priekšrocība ir tā, ka ir veikta ļoti dziļa drošības revīzija, lai pārliecinātos, ka tā darbojas un ir noderīga.
Vēl viens interesants aspekts ir tas, ka mēs varam izveidot skriptu vai saskarni, lai definētu iptables noteikumus, lai gan jau tagad ir pieejami daudzi, kas ļauj ļoti elastīgi konfigurēt ar noteikumu kopām.
Droši lietojiet SSH tālvadībai
Kad mums jāpārvalda serveris, kuram mums nav vietējās piekļuves, tas jādara attālināti. Šim nolūkam pakalpojums tiek izmantots, izmantojot protokolu SSH, kas nozīmē Secure Shell, kas ļauj serveri pilnībā pārvaldīt, izmantojot komandu tulku,
SSH nodrošina iespēju izveidot un uzturēt satiksmes tuneli starp datoru un serveri, lai tiktu izveidots drošs savienojums, jo tunelis pārraida datus, izmantojot šifrētu savienojumu.
Lai gan pats protokols ir ļoti drošs, tas ir plaši analizēts un pārbaudīts, mēs varam pievienot dažas konfigurācijas iespējas, lai padarītu to drošāku, piemēram, mainīt portu, jo pēc noklusējuma SSH savienojuma ports ir 22. ports, šim nolūkam mēs izveidojam savienojumu, izmantojot SSH, un pēc tam rediģējam failu:
/ etc / ssh / sshd_configMēs izveidojam savienojumu, izmantojot šādu komandu:
ssh lietotājs @ ip
Tālāk mēs rediģējam failu un mainām portu uz citu pēc savas patikas, kas netraucē nevienam pakalpojumam, piemēram, 9200:
nano / etc / ssh / sshd_config
Mēs ierakstām un mēs restartējam SSH lai tā pieņemtu jauno konfigurāciju saskaņā ar linux izplatīšanu:
Fedora, Centos
sbin / service sshd restartDebian, Ubuntu
/etc/init.d/sshd restartTad mums atkal būs jāpiekļūst, mēs to darīsim šādi:
ssh lietotājs @ ip -p 9200Tad mēs bloķējam portu 22 šādā veidā, viņi nevarēs mūs skenēt un mēģināt veikt brutālu spēku.
iptables -A OUTPUT -p tcp --portport 22 -j DROPInstalējiet IPS vai ielaušanās novēršanas sistēma
Ielaušanās novēršanas sistēma ir programmatūra, kas ļauj uzraudzīt un kontrolēt piekļuvi datortīklā, lai aizsargātu resursus vai serveri no uzbrukumiem un ielaušanās. Ielaušanās novēršanas tehnoloģija ir būtisks papildinājums ielaušanās atklāšanas sistēmai (IDS), savukārt IPS darbojas kā ugunsmūris, kamēr IDS analizē, kāda veida datplūsma cirkulē tīklā, bet arī pārbauda saturu un to, ko šis saturs dara.
Kā piemēru var minēt Fail2Ban, tā ir programma, kas izstrādāta, izmantojot Python, lai novērstu ielaušanos, tā ir IPS, kas automātiski darbojas, analizējot un bloķējot attālos savienojumus, kas mēģina piekļūt brutālam spēkam.
Fail2ban ne tikai izmanto savu piekļuves mēģinājumu žurnālu, bet arī izmanto žurnālus no citas programmatūras, piemēram, iptables, kas nosaka noteikumus, lai varētu piemērot bloķēšanu.
Varat izmantot administratora izveidotos noteikumus vai izveidot jaunus atbilstoši savai konfigurācijai, piemēram, bloķēt IP, kuram nav izdevies piekļūt 3 reizes.
Mēs varam no SSH loga vai lejupielādēt to no tās oficiālās vietnes, ja tas nonāk mūsu izplatīšanas krātuvēs, mēs to instalējam.
apt-get install fail2banPēc tam mēs to konfigurējam, rediģējot šādu failu:
nano /etc/fail2ban/jail.conf
Šeit mēs rediģējam dažus no vissvarīgākajiem parametriem
- ignoreip: ip, kas nekad netiks bloķēts.
- bantime: laiks IP sekundēs, kas ilgs sekundēs.
- maxretry: maksimālais neveiksmīgo piekļuves mēģinājumu skaits pirms bloķēšanas.
Tad mēs varam izveidot filtrus dažādām lietojumprogrammām, kuras mēs varam atrast direktorijā:
cd /etc/fail2ban/filter.d
Šī ielaušanās novēršanas sistēma ļaus mums mazināt daudzus uzbrukumus un tādējādi palielināt mūsu VPS konfigurācijas vispārējo drošību.
Fail2ban ir pakalpojums, kas uzrauga žurnāla failus, lai noteiktu, vai piekļuve ir likumīgs lietotājs, un vai ne, lai īslaicīgi bloķētu datplūsmu no IP adreses, kas saistīta ar lietotāju, kurš plāno piekļūt dažiem pakalpojumiem, piemēram, ftp, ssh, e -pastu, tīmeklis utt.
Tas ir vienkāršs veids, kā automātiski bloķēt brutāla spēka metodes, jo, bloķējot to, uzbrukums pārstās darboties tik ilgi, kamēr mēs to norādīsim. Tas parasti ir pietiekami, lai atturētu no turpmākiem brutāla spēka mēģinājumiem.
Īstenot a ielaušanās atklāšanas sistēma vai IDS
Ielaušanās atklāšanas sistēma jeb IDS ir obligāts papildinājums ielaušanās novēršanas sistēmai. IDS nosaka failu vai ierakstu izmaiņas, veicot salīdzinājumus Pret šīm iepriekš reģistrētajām valstīm jāzina, vai faili ir mainīti vai kāda konfigurācija ir mainīta, un lai reģistrētu, kurš lietotājs to ir izdarījis.
Ir daudz IDS, piemēram, Snort, ko mēs redzējām apmācībā:
- Hakeru novēršanas un drošības rīki
- Suricata ielaušanās atklāšanas sistēma
- Serveru un operētājsistēmu drošības stiprināšana.
Šie rīki izmanto sistēmas failu datubāzi un aizsargā konfigurācijas failus. Konfigurējot kārtulas un izņēmumus, jūs definējat, kuri faili ir jāaizsargā un par ko jāziņo, lai, sākot sistēmas uzraudzību, varētu pārskatīt izpildes un visas pārraudzīto failu izmaiņas.
Visus rīkus var konfigurēt, lai laiku pa laikam automātiski pārbaudītu ar cronjob un pat ieviestu e -pasta paziņojumus neparastu darbību gadījumā.
Ja ņemam, piemēram, Snort, mēs to instalējam no krātuvēm:
apt-get install snort
Pēc tam mēs ejam uz direktoriju, kurā atrodas noteikumu faili:
cd / etc / snort / rules
Piemēram, apskatīsim failu mysql.rules
nano mysql.rulesJa mēs redzam, ka ir jāinformē jebkura ārēja vai root lietotāja piekļuve MySQL pakalpojumam.
Vēl viens piemērs ir, piemēram, tērzēšanas programmu uzraudzība gan no servera, gan no tīkla datora vai no ārēja datora, kas izmanto mūsu serveri.
nano čats.noteikumi
Mēs varam arī konfigurēt katru noteikumu failu, lai noteiktu lejupielādes no pārlūkprogrammas vai piekļuvi pakalpojumam, faila vai konkrētas tīmekļa lapas modifikāciju.
Suricata ir modernāka nekā Snort un Tripwire, jo tā darbojas kā sniffer dzinējs, lai analizētu tīkla sistēmas ienākošo un izejošo trafiku. Tomēr ir daudz resursu, lai analizētu un atklātu ielaušanos, veicot dubultus pienākumus kā IDS un IPS.
Tam ir arī spraudņi, lai piešķirtu noteikumus un analizētu daudzas lietojumprogrammas un programmas. Suricata darbojas visos OSI modeļa slāņos.
Pārbaudiet vīrusus un ļaunprātīgu programmatūru, izmantojot Linux ļaunprātīgas programmatūras noteikšana vai ClamAV
Lai gan Linux ir mazāk pakļauti šāda veida uzbrukumiem, tas nav pasargāts no ļaunprātīgas programmatūras. Drošības sistēmas rīkiem kopā ar IPS un IDS ieviešanu, lai atklātu ielaušanās mēģinājumus, nepieciešama programmatūra, kas spēj meklēt un atklāt ļaunprātīgu programmatūru, lai identificētu darbības pēdas, kas norāda, ka sistēmā ir instalēta kāda bīstama programmatūra.
Linux ļaunprātīgas programmatūras noteikšanas (LMD) apmācībā, lai aizsargātu Linux, tika izskaidrota šī rīka instalēšana un izmantošana ļaunprātīgas programmatūras noteikšanai, nepalaidiet to garām.
Linux sistēmām ir pieejami vairāki ļaunprātīgas programmatūras skeneri, kurus var izmantot, lai periodiski pārbaudītu serveru integritāti. Linux ļaunprātīgas programmatūras noteikšana, kas pazīstama arī kā maldet vai LCD, ir populāra opcija, kuru var instalēt un konfigurēt, lai, pamatojoties uz tās datu bāzi, meklētu zināmus ļaunprātīgas programmatūras parakstus.
To var palaist manuāli vienreizējai skenēšanai, un to var palaist arī, izmantojot cronjob, lai regulāri veiktu profilaktisku skenēšanu un meklēšanu, jo īpaši, lai pārbaudītu e-pastus un failus, kurus ar ftp var augšupielādēt serverī. Pārskatus par šiem skenējumiem var nosūtīt pa e -pastu servera administratoriem.
Vai jums patika šī apmācība un palīdzējāt tai?Jūs varat apbalvot autoru, nospiežot šo pogu, lai sniegtu viņam pozitīvu punktu