Zabezpieczanie VPS

[IceBeast 30]

Witam

Od niedawna jestem właścicielem i administratorem serwera VPS. Wszystko działa tak jak trzeba, ale jednak chciałbym mieć dobrze wszystko zabezpieczone. Niestety nie wiem co (a tym bardziej jak) mogę zabezpieczyć.

 

Czy moglibyście udzielić mi jakichś porad typu "co i jak" z dziedziny zabezpieczanie VPS?

 

Czy powinienem przejmować się atakami typu DDoS, czy jednak leży to w zakresie dostawcy usług (w tym przypadku ViHost)?

Edytowano Lipiec 9, 2011 przez IceBeast (zobacz historię edycji)

[Kolopik 222]

Na początek zaintaluj Fail2Ban i skonfiguruj według jakiegoś poradnika z netu.

 

Do apache'a polecam mod_evasive : http://www.varlog.pl...ez-mod_evasive/

 

Polecam 2 blogi, z których dowiesz się więcej na ten temat:

1. http://www.varlog.pl/

2. http://www.blueman.pl/

Edytowano Lipiec 9, 2011 przez Kolopik (zobacz historię edycji)

[Gość Kamikadze]

Możesz jeszcze zmienić port ssh, hasła powyżej 8 znaków (cyfry, litery duże i małe, jakieś znaki)

[Kolopik 222]

Możesz jeszcze zmienić port ssh, hasła powyżej 8 znaków (cyfry, litery duże i małe, jakieś znaki)

 

Odpowiednio skonfigurowany Fail2ban będzie banował ataki na ssh, na domyślnym porcie. Nmap'em możesz przeskanować porty i dowiesz się na jaki uruchomiony jest ssh.

[IceBeast 30]

Ok, właśnie instaluję fail2bana ale mam pytanie.

Czy blokuje on również "normalne" logowanie do FTP z konta roota? Chciałbym zabezpieczyć na ip, ale mam dynamiczne, więc nie wiem czy w razie czego będę mógł przez FTP zmodyfikować na aktualne.

[Kolopik 222]

Ok, właśnie instaluję fail2bana ale mam pytanie.

Czy blokuje on również "normalne" logowanie do FTP z konta roota? Chciałbym zabezpieczyć na ip, ale mam dynamiczne, więc nie wiem czy w razie czego będę mógł przez FTP zmodyfikować na aktualne.

 

Fail2ban nasłuchuje także na sftp.

 

\W pliku jail.conf powinieneś mieć coś takiego:

 

[ssh-|ddos]

 

enabled = false

port = ssh

filter = sshd-ddos

logpath = /var/log/auth.log

maxretry = 6

 

port = ssh

Po przecinku dopisz "sftp"

 

Powinno wyglądać tak:

 

[ssh-|ddos]

 

enabled = false

port = ssh,sftp

filter = sshd-ddos

logpath = /var/log/auth.log

maxretry = 6

[IceBeast 30]

Czyli jeśli przykładowo mam teraz ip 174.12.34.56 i dopiszę je do fail2bana, a później mi się zmieni np. na 174.12.34.78 to nie będę mógł się w żaden sposób dostać do serwera?

[Kolopik 222]

Czyli jeśli przykładowo mam teraz ip 174.12.34.56 i dopiszę je do fail2bana, a później mi się zmieni np. na 174.12.34.78 to nie będę mógł się w żaden sposób dostać do serwera?

 

Gdzie chcesz dopisywać IP?

[IceBeast 30]

Do ignoreip.

Przepraszam, trochę mi się pomieszało od tych poradników

 

Nie dotyczy to samego fail2bana, ale ogólnie VPSa.

Dodatkowym zabezpieczeniem może być umożliwienie logowania się na serwer tylko z określonych adresów IP. W ten sposób jesteśmy niemal w 100% zabezpieczeni przed próbami ataków.

Edytujemy w tym celu plik /etc/hosts.allow

sshd : 127.0.0.1 : allow

sshd : TwojAdresIP : allow

sshd : TwojInnyAdresIP : allow

sshd : ALL : deny

 

Czyli jeśli w używając powyższego sposobu zabezpieczyłbym SSH i SFTP to czy mógłbym w jakikolwiek inny sposób dostać się do serwera w przypadku zmiany mojego dynamicznego IP?

Edytowano Lipiec 9, 2011 przez IceBeast (zobacz historię edycji)

[Kolopik 222]

Do ignoreip.

Przepraszam, trochę mi się pomieszało od tych poradników

 

Nie dotyczy to samego fail2bana, ale ogólnie VPSa.

 

 

Czyli jeśli w używając powyższego sposobu zabezpieczyłbym SSH i SFTP to czy mógłbym w jakikolwiek inny sposób dostać się do serwera w przypadku zmiany mojego dynamicznego IP?

 

Lepiej nie ryzykować. Bezpieczniejszym rozwiązaniem dla twojego dynamicznego IP będzie zablokowanie bezpośredniego logowania na root'a.

Edytowano Lipiec 9, 2011 przez Kolopik (zobacz historię edycji)

[Gość Kamikadze]

Możesz ewentualnie ustawić logowanie po ssh tylko z innego VPSa (najtańszy) i używać jako proxy (ustawić only ip VPSa drugiego) lub innym rozwiązaniem jest dokupić drugie IP i zrobić logowanie tylko na te IP (używane tylko do SSH).

[d.v 1409]

A nie łatwiej, szybciej, taniej i bezpieczniej będzie ustawić logowanie po kluczu i wyłączenie logowania na hasło?

[ToFFiK 33]

[ssh-ddos]

 

enabled = false

port = ssh,sftp

filter = sshd-ddos

logpath = /var/log/auth.log

maxretry = 6

Sorry, mogę się mylić, ale tak domyslnie mysle że zamiast "false" powinno być true żeby ta funkcja odpaliła, ale to tylko moje przemyslenia.

[_MK_ 23]

Witam

Od niedawna jestem właścicielem i administratorem serwera VPS. Wszystko działa tak jak trzeba, ale jednak chciałbym mieć dobrze wszystko zabezpieczone. Niestety nie wiem co (a tym bardziej jak) mogę zabezpieczyć.

 

Czy moglibyście udzielić mi jakichś porad typu "co i jak" z dziedziny zabezpieczanie VPS?

 

Czy powinienem przejmować się atakami typu DDoS, czy jednak leży to w zakresie dostawcy usług (w tym przypadku ViHost)?

 

Co do zabezpieczenia dostępu po SSH to zdecydowanie skorzystaj z rady "d.v" i wprowadz autoryzację po kluczach. Ponadto w kwestii dynamicznego IP możesz zainteresować się np. "portnocking`iem":

 

http://www.portknocking.org/

[Miłosz 2311]

Sorry, mogę się mylić, ale tak domyslnie mysle że zamiast "false" powinno być true żeby ta funkcja odpaliła, ale to tylko moje przemyslenia.

Masz rację, Kacper mógł się pomylić i przekleił standardowy konfig bez poprawek.

[Kolopik 222]

 

 

Sorry, mogę się mylić, ale tak domyslnie mysle że zamiast "false" powinno być true żeby ta funkcja odpaliła, ale to tylko moje przemyslenia.

 

Tak, tak. Pomyliłem się , przepraszam

[Life 15]

rozmowa o bezpieczeństwie i dyskusja o logowaniu na roota przez FTP?? jedno wyklucza drugie

[Gość Kamikadze]

Witam

Od niedawna jestem właścicielem i administratorem serwera VPS. Wszystko działa tak jak trzeba, ale jednak chciałbym mieć dobrze wszystko zabezpieczone. Niestety nie wiem co (a tym bardziej jak) mogę zabezpieczyć.

 

Czy moglibyście udzielić mi jakichś porad typu "co i jak" z dziedziny zabezpieczanie VPS?

 

Czy powinienem przejmować się atakami typu DDoS, czy jednak leży to w zakresie dostawcy usług (w tym przypadku ViHost)?

 

 

rozmowa o bezpieczeństwie i dyskusja o logowaniu na roota przez FTP?? jedno wyklucza drugie

 

 

Gdzie ty coś takiego widzisz?

[kafi 2425]

Gdzie ty coś takiego widzisz?

A np. tu:

Czy blokuje on również "normalne" logowanie do FTP z konta roota?

[Gość Kamikadze]

A np. tu:

 

 

Jedno zdanie a raczej pytanie o logowanie FTP jako root i to jest dyskusja?

 

Jedno pytanie czy to blokuje to nie znaczy że on chce się logować jako root.

 

rozmowa o bezpieczeństwie i dyskusja o logowaniu na roota przez FTP?? jedno wyklucza drugie

 

[kafi 2425]

Skoro pisze o logowaniu przez ftp na konto root po to, co by sobie pliki pozmieniać,

 

więc nie wiem czy w razie czego będę mógł przez FTP zmodyfikować na aktualne.

 

to faktycznie, wcale nie znaczy, że chce się na to konto logować...

[IceBeast 30]

Rozumiem że miałeś na myśli to, że potencjalnych włamywaczy zainteresuje fakt, że używam konta roota?

Od razu podkreślam, że takowego konta nawet nie posiadam, więc nie róbcie sobie nadziei. Od właściciela otrzymałem po prostu konto z uprawnieniami roota o innym loginie

[d.v 1409]

na jedno wychodzi - root nawet pod inną nazwą pozostaje rootem, z pełnym dostępem do wszystkiego. W przypadku włamu (jeśli źle zabezpieczony serwer, to zwykły brute-force wystarczy) cała zawartość serwera jest podana na tacy.

[kafi 2425]

Potencjalnych włamywaczy zapewne zainteresuje to, że takie ważne hasło (obojętnie czy do konta o loginie root, czy ksiezniczka, ale mające uid=0) pływa sobie w przestworzach internetowych otwartym tekstem.

Edytowano Lipiec 11, 2011 przez kafi (zobacz historię edycji)

[IceBeast 30]

Ale jednak zawsze są mniejsze, choćby o 0,01% szanse na powodzenie włamania. Niech cracker straci te kilka sekund na znalezienia użytkownika

Mimo wszystko zrobiłem wszystko co było w mojej mocy dzięki waszym poradom, dziękuję