учебные пособия

Руководство по защите VPS-сервера с Linux

  Дата публикации: May/2024
{title}

VPS-сервер (Virtual Private Server) - это логический раздел жесткого диска через виртуальную машину, а VPS дает нам больший контроль над администрированием ресурсов по сравнению со службой общего сервера.

VPS идеально подходит для тех, кто хочет использовать сервер профессионально, но по более низкой цене, чем выделенный, а также для тех, кто хочет начать и проводить тесты по администрированию сервера, но не уверен в технических аспектах, VPS-сервер является хорошим возможность начать. Его можно использовать для тестирования инструментов и навыков без необходимости вкладывать слишком много денег и подвергать риску сервер в производстве.

Мы можем создать VPS, как показано в руководстве:

  • Создайте локальный VPS-сервер

Или используйте некоторые платежи. Многие компании предлагают VPS-сервер в месяц или в день, например DigitalOcean, для тестирования конфигураций в реальной среде.

{title}

При администрировании сервера самое важное - это решить, какие меры безопасности мы примем. Хотя существует множество мер и инструментов безопасности, они также могут быть контрпродуктивными, поскольку они потребляют ресурсы и могут не позволить некоторым приложениям работать, поэтому мы должны знать о рисках, о потребностях, которые должны быть в состоянии определить баланс между простотой, производительностью сервера и безопасность.

В этом уроке я предоставлю серию рекомендуемых настроек для безопасного VPS

Блокировка доступа с помощью брандмауэров (Firewalls)
Межсетевые экраны действуют как барьер между общим интернет-трафиком и сервером. Важно проверять, фильтровать и блокировать внутренний и внешний трафик.

С помощью набора правил, настроенных администратором, сервер будет использовать только определенные сетевые порты для авторизованных сервисов. Остальные порты не использовались и должны быть надежно защищены за брандмауэром, чтобы запретить весь трафик, предназначенный для этих мест.

В этом руководстве мы будем предполагать, что мы администрируем сервер Linux VPS, чтобы принять меры безопасности. Чтобы установить основные правила брандмауэра, мы должны сначала отследить, какие порты у нас открыты, для этого мы используем команду: 

 Ifconfig
Определяем ip: 
 nmap -sT -O 192.168.0.11

{title}

Это позволяет узнать, какие порты прослушивают, и в некоторых случаях обусловить использование служб. Правильная настройка правил брандмауэра является хорошей основой для безопасности сервера и сети.

Есть много доступных брандмауэров, некоторые из них:

  • IPCop Firewall
  • ConfigServer Security & Firewall

Наиболее используемый брандмауэр - это Iptables, который уже поставляется с Linux, но не имеет графического интерфейса, из окна терминала (подключенного через SSH) мы можем использовать следующие команды:

Заблокировать определенный входной IP: 

 sudo iptables -A INPUT -s 190.160.45.60 -j DROP
Заблокируйте входящий IP-адрес и порт через интерфейс Ethernet или проводной сети: 
 iptables -A INPUT -i eth0 -s 190.160.45.60 - порт назначения 25 -j DROP
Заблокировать входящий IP, но по WiFi: 
 iptables -A INPUT -i wlan0 -s 190.160.45.60 -j DROP
Если я удаляю параметр -s IP и покидаю порт, тогда я блокирую порт для любого IP

Iptables - это инструмент, используемый для управления межсетевым экраном netfilter, включенным в ядро ​​Linux . Преимущество Iptables состоит в том, что он прошел очень глубокие проверки безопасности, чтобы убедиться, что он работает и полезен.

Еще один интересный аспект заключается в том, что мы можем создать скрипт или интерфейс для определения правил для iptables, хотя уже есть много доступных, которые можно настроить с помощью наборов правил очень гибким способом.

Используйте SSH с безопасностью для удаленного администрирования
Когда мы должны управлять сервером, который не имеет локального доступа, мы должны делать это удаленно. Для этого служба используется через протокол SSH, аббревиатура от Secure Shell, которая позволяет полностью управлять сервером через интерпретатор команд,

SSH предоставляет возможность создавать и поддерживать туннель трафика между компьютером и сервером, так что устанавливается безопасное соединение, так как туннель передает данные по зашифрованному соединению.

Несмотря на то, что сам протокол очень безопасен и тщательно проанализирован и проверен на безопасность, мы можем добавить некоторые параметры конфигурации, чтобы сделать его более безопасным, например, изменить порт, поскольку по умолчанию порт подключения SSH является портом 22, для этого мы подключаемся через SSH и затем редактируем файл: 

 / etc / ssh / sshd_config
Мы подключаемся с помощью следующей команды: 
 ssh

{title}

$config[ads_text6] not found

Затем мы редактируем файл и меняем порт на другой, который нам нравится, который не мешает никаким сервисам, таким как 9200: 

 nano / etc / ssh / sshd_config

{title}

Мы записываем и перезапускаем SSH для принятия новой конфигурации в соответствии с дистрибутивом Linux:

Fedora, Centos 

 sbin / service sshd перезапустить
Debian, Ubuntu 
 /etc/init.d/sshd restart
Затем мы должны получить доступ снова, мы сделаем это следующим образом: 
 ssh -p 9200
Затем мы блокируем порт 22, чтобы они не могли сканировать нас и предпринять атаку методом грубой силы. 
 iptables -A ВЫХОД -p tcp --dport 22 -j DROP

$config[ads_text5] not found

Установите IPS или систему предотвращения вторжений
Система предотвращения вторжений - это программное обеспечение, которое позволяет контролировать и контролировать доступ в компьютерной сети для защиты ресурсов или сервера от атак и вторжений. Технология предотвращения вторжений является жизненно важным дополнением наряду с системой обнаружения вторжений (IDS), в то время как IPS работает как брандмауэр, в то время как IDS анализирует, какой тип трафика циркулирует в сети, но также анализирует контент и Что этот контент делает.

Например, Fail2Ban - это приложение, разработанное под Python для предотвращения вторжений, это IPS, который автоматически анализирует и блокирует удаленные соединения, которые пытаются получить доступ методом "грубой силы".

$config[ads_text6] not found

Fail2ban не только использует свой собственный журнал попыток доступа, он также использует журналы другого программного обеспечения, такого как iptables, которые определяют правила применения блокировки.

Вы можете использовать правила, созданные администратором, или создавать новые в соответствии с вашей собственной конфигурацией, например, заблокировать IP-адрес, к которому 3 раза не удалось получить доступ.

Мы можем из окна SSH или скачать его с официального сайта, если он входит в репозитории нашего дистрибутива, мы его устанавливаем. 

 apt-get установить fail2ban
Затем мы настраиваем его, редактируя следующий файл: 
 nano /etc/fail2ban/jail.conf

{title}

Здесь мы редактируем некоторые из наиболее важных параметров

  • ignoreip: ip, который никогда не будет заблокирован.
  • bantime: время в секундах, которое будет длиться блокировка ip.
  • maxretry: максимальное количество неудачных попыток доступа до блокировки.

Затем мы можем создать фильтры для различных приложений, которые мы можем найти в каталоге: 

 cd /etc/fail2ban/filter.d

{title}

Эта система предотвращения вторжений позволит нам смягчить многие атаки и, таким образом, повысить общую безопасность нашей конфигурации VPS.

Fail2ban - это служба, которая отслеживает файлы журнала, чтобы определить, является ли доступ легитимным пользователем, и временно заблокировать трафик с IP-адреса, связанного с пользователем, который намеревается получить доступ к какой-либо службе, например, ftp, ssh, email, сеть и т. д.

Это простой способ автоматически помешать методам грубой силы, поскольку он должен будет блокировать атаку, которая перестанет работать, пока мы указываем. Этого обычно достаточно, чтобы препятствовать новым попыткам грубой силы.

$config[ads_text5] not found

Внедрить систему обнаружения вторжений или IDS
Система обнаружения вторжений, или IDS, является обязательным дополнением к системе предотвращения вторжений. IDS обнаруживает изменения записей или файлов, выполняя сравнения с этими ранее зарегистрированными состояниями, чтобы узнать, были ли файлы изменены или изменена какая-либо конфигурация, и записать, какой пользователь сделал это.

Есть много IDS, таких как Snort, которые мы видели в уроке:

  • Хакерские средства безопасности и предотвращения
Сурикат мы увидели в уроке:
  • Meerkat Система обнаружения вторжений
Tripwire мы видели в уроке:
  • Усиление безопасности сервера и операционной системы.

$config[ads_text6] not found

Эти инструменты используют базу данных системных файлов и защищают файлы конфигурации. Настраивая правила и исключения, вы определяете, какие файлы следует защищать, а какие следует сообщать, чтобы при запуске мониторинга системы вы проверяли выполнение и любые изменения отслеживаемых файлов.

Все инструменты могут быть настроены так, чтобы время от времени выполнять автоматический просмотр cronjob и даже реализовывать уведомления по электронной почте в случае необычной активности.

Если мы возьмем, например, Snort, мы установим его из репозиториев: 

 apt-get установить snort

{title}

Затем мы идем в каталог, где находятся файлы правил: 

 cd / etc / snort / rules

$config[ads_text5] not found

{title}

Например, давайте посмотрим на файл mysql.rules 

 нано mysql.rules
Там, где мы видим, указано, что любой внешний или root пользователь должен получить доступ к сервису MySQL.

{title}

Другим примером является, например, мониторинг программ чата либо с сервера, либо с компьютера в сети, либо с внешнего компьютера, который использует наш сервер. 

 нано чат.рулес

{title}

Мы также можем настроить каждый файл правил для обнаружения загрузок из браузера или доступа к сервису, изменения определенного файла или веб-страницы.

$config[ads_text6] not found

Meerkat является более современным, чем Snort и Tripwire, так как он работает в качестве анализатора для анализа трафика в сетевой системе и из нее. Тем не менее, он использует много ресурсов для анализа и обнаружения вторжений при выполнении двойной работы IDS и IPS.

Он также имеет плагины для назначения правил и анализа многих приложений и программ. Сурикат работает на всех уровнях модели OSI.

Проверьте вирусы и вредоносные программы с помощью Linux Malware Detect или ClamAV
Хотя Linux менее подвержен таким атакам, он не защищен от вредоносного программного обеспечения. Для инструментов системы безопасности в сочетании с внедрением IPS и IDS для обнаружения попыток вторжения требуется программное обеспечение, способное осуществлять поиск и обнаружение вредоносных программ для выявления следов активности, которые указывают на то, что в сервер.

В руководстве Linux Malware Detect (LMD) по защите Linux была объяснена установка и использование этого инструмента для обнаружения вредоносных программ, не пропустите его.

Для систем Linux доступно несколько сканеров вредоносных программ, которые можно использовать для периодической проверки целостности серверов. Linux Malware Detect, также известный как maldet или LCD, является популярной опцией, которую можно установить и настроить для поиска известных сигнатур вредоносных программ в соответствии с ее базой данных.

Его можно запускать вручную для выполнения одноразового анализа, а также с помощью cronjob для регулярного профилактического поиска и анализа, особенно для проверки электронных писем и файлов, которые могут быть загружены по FTP на сервер. Отчеты об этих проверках могут быть отправлены по электронной почте администраторам сервера.

$config[ads_text5] not found

  • 0

СТАТЬЯ ПО ТЕМЕ Удаление личных данных и информации, используемых Cortana Windows 10

..