Безопасность linux сервера. Часть 2
В первой части статьи мы рассматривали больше физическую защиту. Но куда более опасной является сама сеть, ведь от туда гораздо легче добраться до вашего сервера, чем пробираться в серверную и пытаться исполнить свои черные замыслы. Скорее всего персонально вас ломать никто не будет, просто Вы попадете под «горячую» руку очередного бота сканирующего все подряд. В плане исключения на вас может кто-то сильно рассердиться и захочет таким образом отомстить.
Сколько не говори о необходимости использования надежных и уникальных паролей, всегда лень будет брать свое, что в свою очередь может очень негативно сказаться на вашей безопасности. Стоит добавить пару слов по выбору пароля. Длина не менее 8-ми символов, а лучше не менее 12. Должен включать числа, буквы разного регистра, знаки препинания и арифметические знаки. Не следует забывать о периодической смене.
Если вам лень придумывать, то можно сгенерировать случайный:
и выбрать понравившийся кусочек.
Или сразу фиксированной длины:
Хотя есть еще очень удобный метод составления пароля — это принцип «шокирующего абсурда», т.е. придумывается какая-нибудь абсурдная матерная фраза, которую сложно забыть. Вот здесь действительно есть куда разгуляться и пароль точно будет криптографически стойким. Например, «3 гондона на суку в**бали козу» . Записать все это дело латиницей без пробелов и конечно со звездочками.
Если желаете проверить надежность пароля, то есть следующие онлайн сервисы для проверки:
testyourpassword.com, passwordmeter.com и comparitech.com
Так как администрирование всегда проходит удаленно, то следует отказаться от небезопасных протоколов передачи данных. В противном случае пароли будут передаваться в открытом виде и могут быть легко перехвачены. Всегда используйте ssh, а для web — https. Для ssh желательно отключить root`a или разрешить вход с определенных адресов. Для веб сервера и не только, установить строгие права доступа на файлы и каталоги.
Вот пример настройки ssh.
# Сменим стандартный порт;
Port 9022
# Оставим только вторую версию протокола;
Protocol 2
# Запретим root`a;
PermitRootLogin no
Следите за обновлением программного обеспечения, могут быть важные исправления безопасности, иначе вас смогут наказать за расторопность, применив очередной эксплоит.
Так же следует отключить все не нужные службы, оставив только необходимые. А настройку существующих производить из соображений безопасности — все что не разрешено, то запрещено.
Дальше пойдет речь о вещах просто не способных уместится в данной статье, и я решил, что лучше сюда включить лишь их описание, а остальное вынести в отдельные статьи.
Использование фаервола категорически обязательно. Как раз его настройку можно увидеть здесь, желательно, по умолчанию, запретить весь трафик и разрешить только необходимый, не забывая про ограничение количества коннектов. Iptables(netfilter) не отменяет использование tcp wrappers, IDS и различные антируткиты.
Нельзя забывать про мониторинг системы и журнальных файлов дабы предупредить возможные неполадки и быть в курсе работы сервера.
Резервное копирование — как манна небесная для любого сервера, ведь никогда не знаешь, когда все потеряешь. И тут нет полностью готового решения на все случаи жизни, конечно зачастую ситуации довольно типичны, но все-равно требуют индивидуального подхода. Так же более подробно рассмотрю тут.
Пока вот такой половинчатый вариант статьи, но по написании отдельных подразделов обязательно будет обновлена и дополнена.
Продолжение следует…
Новые комментарии