Vadovas, skirtas apsaugoti VPS serverį naudojant „Linux“

Turinys

A VPS serveris (virtualus privatus serveris), Tai loginis kietojo disko skaidinys per virtualią mašiną, vps suteikia mums daugiau galimybių valdyti išteklių valdymą, palyginti su bendro serverio paslauga.

VPS idealiai tinka tiems, kurie nori profesionaliai naudotis serveriu, bet už mažesnę kainą nei tam skirtas serveris, taip pat tiems, kurie nori pradėti ir atlikti serverių administravimo testus, tačiau nėra tikri dėl techninių aspektų. serveris yra geras pasirinkimas pradėti. Jis gali būti naudojamas išbandyti įrankius ir įgūdžius neišleidžiant per daug pinigų ir nekenkiant gamybos serveriui.

Mes galime sukurti VPS, kaip matyti pamokoje:

  • Sukurkite vietinį VPS serverį

Arba naudokitės tam tikrais mokėjimais, yra daug įmonių, siūlančių VPS serverį per mėnesį ar dieną, pavyzdžiui, „DigitalOcean“, kad būtų galima išbandyti konfigūracijas realioje aplinkoje.

Svarbiausias dalykas, kai turime administruoti serverį, yra nuspręsti, kokių saugumo priemonių reikės imtis. Nors yra daug saugumo priemonių ir priemonių, jos taip pat gali duoti priešingų rezultatų, nes jos sunaudoja išteklius ir gali neleisti kai kurioms programoms gerai veikti, todėl turime žinoti apie riziką ir poreikius, kad galėtume nuspręsti dėl pusiausvyros tarp lengvumo, serverio veikimas ir saugumas.

Šioje pamokoje pateiksiu saugiai VPS rekomenduojamų konfigūracijų seriją

Prieigos blokavimas naudojant ugniasienes
Ugniasienės veikia kaip kliūtis tarp bendro interneto srauto ir serverio. Svarbu peržiūrėti, filtruoti ir blokuoti vidinį ir išorinį srautą.

Remdamasis administratoriaus sukonfigūruotomis taisyklėmis, serveris įgaliotoms paslaugoms naudos tik konkrečius tinklo prievadus. Kiti uostai nebuvo naudojami ir turi būti saugiai apsaugoti už užkardos, kad būtų užkirstas kelias visoms šioms vietoms skirtam srautui.

Šioje pamokoje mes manysime, kad valdome „Linux“ VPS serverį, kad pritaikytume saugumo priemones. Norėdami nustatyti pagrindines užkardos taisykles, pirmiausia turime sekti, kuriuos uostus turime atidarę, tam naudojame komandą:

 ifconfig
Mes nustatome IP:
 nmap -sT -O 192.168.0.11

Tai leidžia jums žinoti, kurie uostai klausosi, ir kai kuriais atvejais sąlygoti paslaugų naudojimą. Gerai sukonfigūruoti mūsų užkardos taisykles yra geras serverio ir tinklo saugumo pagrindas.

Yra daug ugniasienių, kai kurios iš jų:

  • „IPCop“ užkarda
  • „ConfigServer“ sauga ir užkarda

Dažniausiai naudojama ugniasienė yra „Iptables“, kuri jau yra su „Linux“, tačiau ji neturi grafinės sąsajos, iš terminalo lango (prijungto per SSH) galime naudoti šias komandas:

Užblokuokite nurodytą gaunamą IP:

 sudo iptables -A INPUT -s 190.160.45.60 -j DROP
Užblokuokite gaunamą IP ir prievadą naudodami eterneto tinklo sąsają arba laidinį tinklą:
 iptables -A INPUT -i eth0 -s 190.160.45.60 -paskirties prievadas 25 -j DROP
Aš blokuoju gaunamą IP, bet per „WiFi“:
 iptables -A INPUT -i wlan0 -s 190.160.45.60 -j DROP
Jei pašalinsiu parametrą -s IP ir išeisiu iš prievado, tada užblokuosiu bet kurio IP prievadą

„Iptables“ yra įrankis, naudojamas valdyti „Linux“ branduolyje esančią tinklo filtro užkardą. „Iptables“ pranašumas yra tas, kad buvo atliktas labai gilus saugumo auditas, siekiant užtikrinti, kad jis veikia ir yra naudingas.

Kitas įdomus aspektas yra tas, kad mes galime sukurti scenarijų ar sąsają, kad apibrėžtume „iptables“ taisykles, nors jau yra daug prieinamų variantų, leidžiančių labai lanksčiai konfigūruoti naudojant taisyklių rinkinius.

Saugiai naudokite SSH nuotoliniam administravimui
Kai turime valdyti serverį, kurio neturime vietinės prieigos, turime tai padaryti nuotoliniu būdu. Tam paslauga naudojama naudojant protokolą, vadinamą SSH, kuris reiškia „Secure Shell“, kuris leidžia visiškai valdyti serverį naudojant komandų vertėją,

SSH suteikia galimybę sukurti ir prižiūrėti eismo tunelį tarp kompiuterio ir serverio, kad būtų sukurtas saugus ryšys, kai tunelis perduoda duomenis užšifruotu ryšiu.

Nors pats protokolas yra labai saugus, jis buvo išsamiai išanalizuotas ir patikrintas, mes galime pridėti keletą konfigūracijos parinkčių, kad jis būtų saugesnis, pvz. pakeiskite prievadą, nes pagal numatytuosius nustatymus SSH ryšio prievadas yra 22 prievadas, tam mes prisijungiame per SSH ir tada redaguojame failą:

 / etc / ssh / sshd_config
Mes prisijungiame naudodami šią komandą:
 ssh vartotojas @ ip

Tada mes redaguojame failą ir keičiame prievadą į kitą, kuris mums patinka, kad netrukdytų jokioms paslaugoms, pavyzdžiui, 9200:

 nano / etc / ssh / sshd_config

Mes įrašome ir iš naujo paleiskite SSH kad ji priimtų naują konfigūraciją pagal „Linux“ platinimą:

Fedora, Centas

 sbin / service sshd paleiskite iš naujo
Debian, Ubuntu
 /etc/init.d/sshd paleiskite iš naujo
Tada turėsime vėl pasiekti, tai darysime taip:
 ssh user @ ip -p 9200
Tada mes užblokuosime 22 prievadą, todėl jie negalės mūsų nuskaityti ir bandyti žiaurios jėgos atakos.
 iptables -A OUTPUT -p tcp --port 22 -j DROP
Įdiekite IPS arba įsilaužimo prevencijos sistema
Įsilaužimo prevencijos sistema yra programinė įranga, leidžianti stebėti ir valdyti prieigą kompiuterių tinkle, siekiant apsaugoti išteklius ar serverį nuo atakų ir įsibrovimų. Įsibrovimo prevencijos technologija yra labai svarbus įsilaužimo aptikimo sistemos (IDS) priedas, o IPS veikia kaip užkarda, o IDS analizuoja, kokio tipo srautas cirkuliuoja tinkle, bet taip pat tikrina turinį ir ką šis turinys daro.

Pavyzdys yra „Fail2Ban“, tai programa, sukurta „Python“, skirta užkirsti kelią įsilaužimams, tai IPS, kuri automatiškai veikia analizuodama ir blokuodama nuotolinius ryšius, kurie bando pasiekti brutalią jėgą.

„Fail2ban“ naudoja ne tik savo prisijungimo bandymų žurnalą, bet ir naudoja kitos programinės įrangos, pvz., „Iptables“, žurnalus, kuriuose nurodomos taisyklės, leidžiančios taikyti užraktą.

Galite naudoti administratoriaus sukurtas taisykles arba sukurti naujas pagal savo konfigūraciją, pavyzdžiui, blokuoti IP, kurio nepavyko pasiekti 3 kartus.

Mes galime tai padaryti iš SSH lango arba atsisiųsti iš jo oficialios svetainės, jei jis patenka į mūsų platinimo saugyklas, mes jį įdiegiame.

 apt-get install fail2ban
Tada mes jį konfigūruojame redaguodami šį failą:
 nano /etc/fail2ban/jail.conf

Čia redaguojame kai kuriuos svarbiausius parametrus

  • ignoreip: IP, kuris niekada nebus užblokuotas.
  • bantime: laikas sekundėmis, kol IP blokas tęsis.
  • „maxretry“: didžiausias nepavykusių prieigos bandymų skaičius prieš užblokavimą.

Tada galime sukurti filtrus įvairioms programoms, kurias galime rasti kataloge:

 cd /etc/fail2ban/filter.d

Ši įsilaužimo prevencijos sistema leis mums sušvelninti daugelį išpuolių ir taip padidinti bendrą mūsų VPS konfigūracijos saugumą.

Fail2ban yra paslauga, kuri stebi žurnalo failus, siekdama nustatyti, ar prieiga yra teisėtas vartotojas, ir jei ne laikinai užblokuoti srautą iš IP adreso, susieto su vartotoju, ketinančiu pasiekti tam tikras paslaugas, nesvarbu, ar tai būtų ftp, ssh, el. žiniatinklis ir kt.

Tai yra paprastas būdas automatiškai užblokuoti brutalios jėgos metodus, nes užblokavus ataka nustos veikti tol, kol nurodysime. Paprastai to pakanka, kad atgrasytų nuo tolesnių bandymų žiauriai jėgai.

Įgyvendinkite a įsilaužimo aptikimo sistema arba IDS
Įsibrovimo aptikimo sistema arba IDS yra privalomas įsilaužimo prevencijos sistemos papildymas. IDS aptinka failų ar įrašų pakeitimus atlikdama palyginimus Prieš šias anksčiau užregistruotas būsenas žinoti, ar failai buvo pakeisti ar bet kokia konfigūracija, ir įrašyti, kuris vartotojas tai padarė.

Yra daug IDS, tokių kaip „Snort“, kuriuos matėme pamokoje:

  • Įsilaužėlių prevencijos ir saugumo priemonės
Surikatas, kurį matėme pamokoje:
  • „Suricata“ įsibrovėlių aptikimo sistema
„Tripwire“, kurį matėme pamokoje:
  • Griežtesnis serverių ir operacinių sistemų saugumas.

Šie įrankiai naudoja sistemos failų duomenų bazę ir apsaugo konfigūracijos failus. Konfigūruodami taisykles ir išimtis, apibrėžiate, kuriuos failus apsaugoti ir apie ką reikia pranešti, kad pradėję stebėti sistemą, galėtumėte peržiūrėti vykdomus failus ir bet kokius stebimų failų pakeitimus.

Visi įrankiai gali būti sukonfigūruoti taip, kad retkarčiais automatiškai patikrintų „cronjob“ ir net įgyvendintų el. Pašto pranešimus neįprastos veiklos atveju.

Pavyzdžiui, jei paimsime „Snort“, įdiegsime jį iš saugyklų:

 apt-get install snort

Tada einame į katalogą, kuriame yra taisyklių failai:

 cd / etc / snort / rules

Pavyzdžiui, pažvelkime į failą mysql.rules

 nano mysql.rules
Kai matome, kad reikia informuoti bet kokią išorinę ar pagrindinę vartotojo prieigą prie „MySQL“ paslaugos.

Kitas pavyzdys yra, pavyzdžiui, pokalbių programų stebėjimas tiek iš serverio, tiek iš tinklo kompiuterio, tiek iš išorinio kompiuterio, kuris naudoja mūsų serverį.

 nano pokalbiai. taisyklės 

Taip pat galime sukonfigūruoti kiekvieną taisyklių failą, kad aptiktų atsisiuntimus iš naršyklės arba prieigą prie paslaugos, failo ar konkretaus tinklalapio pakeitimus.

„Suricata“ yra modernesnė nei „Snort“ ir „Tripwire“, nes ji veikia kaip šnipinėjimo variklis, analizuojantis įeinančius ir išeinančius tinklo sistemos srautus. Tačiau daug išteklių reikia analizuoti ir aptikti įsibrovimus, atliekant dvigubą IDS ir IPS funkciją.

Jame taip pat yra papildinių, skirtų taisyklėms priskirti ir daugeliui programų bei programų analizuoti. „Suricata“ veikia visuose OSI modelio sluoksniuose.

Patikrinkite, ar nėra virusų ir kenkėjiškų programų „Linux“ kenkėjiškų programų aptikimas arba „ClamAV“
Nors „Linux“ yra mažiau linkusi į tokio tipo atakas, ji nėra apsaugota nuo kenkėjiškos programinės įrangos. Norint naudoti apsaugos sistemos įrankius kartu su IPS ir IDS, siekiant aptikti bandymus įsibrauti, reikalinga programinė įranga, galinti ieškoti ir aptikti kenkėjiškas programas, kad būtų galima nustatyti veiklos pėdsakus, rodančius, kad sistemoje yra įdiegta pavojinga programinė įranga.

„Linux“ kenkėjiškų programų aptikimo (LMD) pamokoje, skirtoje apsaugoti „Linux“, buvo paaiškinta, kaip įdiegti ir naudoti šį įrankį kenkėjiškoms programoms aptikti, nepraleiskite to.

Yra daugybė kenkėjiškų programų skaitytuvų, skirtų „Linux“ sistemoms, kurios gali būti naudojamos periodiškai patikrinti serverių vientisumą. „Linux“ kenkėjiškų programų aptikimas, taip pat žinomas kaip „maldet“ arba LCD, yra populiari parinktis, kurią galima įdiegti ir sukonfigūruoti nuskaityti žinomus kenkėjiškų programų parašus pagal jos duomenų bazę.

Jis gali būti paleistas rankiniu būdu vienkartiniam nuskaitymui, taip pat gali būti paleistas naudojant „cronjob“, kad būtų reguliariai atliekami prevenciniai nuskaitymai ir paieškos, ypač norint patikrinti el. Laiškus ir failus, kuriuos ftp gali įkelti į serverį. Ataskaitos apie šiuos nuskaitymus gali būti siunčiamos el. Paštu serverio administratoriams.

Ar jums patiko ir padėjo ši pamoka?Galite apdovanoti autorių paspausdami šį mygtuką, kad suteiktumėte jam teigiamą tašką
wave wave wave wave wave