Пошаговая шпаргалка по защите сервера от хакеров и другой нечисти

[321785]

Про блокировку входа под root - это классический выстрел себе в ногу. Особенно "забавным" это выглядит когда под журналы не выделен отдельный раздел и они забивают весь корень. А для root он выглядит и не как весь.
Так же не увидел ссылки на репозиторий с конфигурациями.
Конечно всё ИМХО, но даже если вы настраиваете 1 (один) сервер рекомендую использовать систему конфигурации.

[jsirex]

TLDR: ssh-keys, sudo, реклама, реклама, логи

[jsirex]

ой, забыл баян fail2ban, но сути не меняет

[Shaman_RSHU]

Знаете другие способы по защите серверов? Поделитесь своими советами в комментариях!

У каждого свой путь, но все они схожи

1. https://www.digitalocean.com/community/tutorials/how-to-harden-linux-security

2. https://www.linode.com/docs/guides/securing-your-server/

3. https://www.cyberciti.biz/tips/linux-hardening-checklist.html

4. https://www.linux.com/training-tutorials/hardening-linux-server/

5. https://www.tecmint.com/linux-server-hardening-security-tips/

6. https://www.howtoforge.com/linux_server_hardening

7. https://www.linuxsecurity.com/resource_files/whitepapers/linux-server-hardening-checklist.pdf

8. https://www.linux.com/news/hardening-linux-server-part-1

9. https://www.linux.com/news/hardening-linux-server-part-2

10. https://www.linux.com/news/hardening-linux-server-part-3

11. https://www.linux.com/news/hardening-linux-server-part-4

12. https://www.linux.com/news/hardening-linux-server-part-5

13. https://www.linux.com/news/hardening-linux-server-part-6

14. https://www.linux.com/news/hardening-linux-server-part-7

15. https://www.linux.com/news/hardening-linux-server-part-8

16. https://www.linux.com/news/hardening-linux-server-part-9

17. https://www.linux.com/news/hardening-linux-server-part-10

18. https://www.linux.com/news/hardening-linux-server-part-11

19. https://www.linux.com/news/hardening-linux-server-part-12

20. https://www.linux.com/news/hardening-linux-server-part-13

..ю

[vagon333]

Все линки https://www.linux.com/news/hardening-linux-server... ведут на 404.

[cry_san]

Это защита такая ))

[Araki_Satoshi]

UFW? Смена SSH порта? `AuthenticationMethods publickey`? Где вот это всё? Базовые же вещи.

[Annikangl]

Так написали же, что порты нужно закрыть. Вы каким местом читаете?

[suprimex]

Актуальный Debian, ставлю fail2ban и получаю сообщение что fail2ban содержит серьезные баги: Serious bugs of fail2ban (→ 1.0.2-2)

Hidden text

serious bugs of fail2ban (→ 1.0.2-2)
b1 - #1037437 - From fresh bookworm install default sshd jail in fail2ban won’t work without rsyslog installed (Fixed: fail2ban/1.0.2-3)
b2 - #770171 - sshd jail fails when system solely relies on systemd journal for logging (Fixed: fail2ban/1.0.2-3)
Summary:
fail2ban(2 bugs)

[Kurochkin]

Не копал глубоко никогда, но интересно по ресурсоемкости как соотносятся

"...ресурсы виртуальной машины заняты тем, что проверяют хеши паролей и записывают логи..."

vs

"Утилита Fail2ban отслеживает лог–файлы запущенных программ и на основании заданных условий блокирует по IP..."

[R0bur]

А если следовать рекомендациям по смене пароля (пароль надо менять минимум раз в полгода), ...

А разве эта практика не признана «древней, устаревшей и имеющей низкую ценность»?

[anshdo]

Вот только хотел спросить, если у вас пароль уникальный для каждого ресурса и имеет высокую энтропию, то на кой хрен менять его раз в полгода?

[Classic_Fungus]

жаль, что пост не особо подходит для серверов, которые стоят дома.

[AptRoApt]

А вот для домашних серверов, мне кажется, уже резонно будет поднять впн и разрешить доступ только из под него.

[Classic_Fungus]

я имел ввиду тот, к котрому есть физический доступ. у меня вот такой. доступ из вне у него только к предоставляемым услугам. Всё управление через "встал, включил монитор (телевизор), взял клаву и поуправлял". ssh выключен.

[Comraddm]

etc/ssh/sshd_config

etc/init.d/sshd

Надо бы поставить в начале символ корневого каталога /, а то кто его знает от какого текущего оно отсчитает.

etc/init.d/sshd restart

Это старый вариант перезапуска, в современных дистрибутивах это не сработает.

Надо systemctl restart sshd.

[Godless]

вообще, думаю целевая аудитория у такой статьи имеется, но как-то кисловато для хабра аудитории. Про рекламу молчу.
По существу, fail2ban хорошо бы конфигурить грамотно с заталкиванием ботов в ipset блок лист по всем портам надолго (неделя+) с удвоением срока при повторном бане (вроде это из коробки так делает в последних версиях). Почти во всех серверах есть веб, про SSL молчу уже, но опять же касательно бана нужно внимательно изучить логи и банить так же надолго. Сканеры часто ломятся по SMB портам - таких часто можно сразу в бан на неделю. и тп.
К сожалению, если все что описано в статье вызывает вопросы, лучше обратиться к корешу за бутылку апельсинового сока помочь настроить серв с ликбезом...

[blanabrother]

А как же port knocking?

[vampire333]

"Еще один плюс заключается в том, что такие пароли достаточно длинные — их невозможно подобрать простым перебором."

"Какой бы сложный пароль вы не придумали, все равно есть риск быть взломанным. Но есть способ, как защититься от переборщиков"

Как эти две фразы могут идти одна за другой?!

[Stam_emg]

Столько апвоутов у статьи, а по сути - технически низкого качества материал.

Понятно, когда высокой сложности статьи набирают мало. Но тут прям качество очень и очень низкое.

Разочарован немного в этом винегрете.

[rustik23]

Шаг.0 - настройте бэкапы, снэпшоты, репликацию.

[progreccor]

Почему то никого не взволновало что советуют генерировать ключи rsa даже не указав длину…

Формат этих ключей в новых версиях Alma Linux (и RHEL подобных) либо не принимается для авторизации, либо требует большой длины.

А проще всего использовать ed25519.

[Winand]

Я недавно ставил fail2ban на Alma/RockyLinux, у меня защита ssh не была по умолчанию активирована. Нужно было включить в конфиге.