Защита серверов, на примере CENTOS 5.x - Форум успешных вебмастеров

mavook · 16.02.2011, 23:53

Добрый день есть некое количество серверов на centos, и вот щас в офисе поставили тоже центос как прокси сервер и файлсервер c доступом извне по статик айпи.
Какие методы существуют для защиты серверов от взлома, подбора и прочего. думаю топик пригодится людям и мне в том числе в будущем.
-------
1)Где то тут писали что надо сменить порт sshd с 22 обязательно от перебора.
вопрос как ?
2)какие то стандартные правила для iptables ?\

P.S. Хостерам обязательно стоит проспаммиться в топике.

KYO · 17.02.2011, 00:04

mavook, бро! в конфиге. на БС же есть топик.
блексео.ком/showthread.php?t=10571

в файле /etc/ssh/sshd_config меняешь "port 22" на "port 37931"
и перезапускаешь так "service sshd restart"

mavook · 17.02.2011, 00:10

Цитата:

Сообщение от KYO

mavook, бро! в конфиге. на БС же есть топик.
блексео.ком/showthread.php?t=10571

в файле /etc/ssh/sshd_config меняешь "port 22" на "port 37931"
и перезапускаешь так "service sshd restart"

Утром менял несработало, а щас поменял заработало, внимание: ошибка новичка там два файла
ssh_config
и sshd_config
в первом меняем ниче не произойдет
во втором полет нормальный проверил.
ps по iptables правилам кто что подскажет чтобы побанить уродов заранее.

mavook · 17.02.2011, 00:11

по защите mysqld что подскажет кто?
и не забывайте хостеры, что гфб мегатраст, прям на днях на топ пойдет много нч трафа связанного с защитой серверов. =)

sspy · 17.02.2011, 00:13

Цитата:

#SSH anti brute force
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 600 --hitcount 5 --rttl --name SSH -j DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

это от брута sshd, если нужен тотальный контроль то гляди в сторону IDS (к примеру EasyIDS)

Цитата:

Сообщение от mavook

по защите mysqld что подскажет кто?

а что там сложного ? даешь список разрешенных ip и вуаля

mavook · 17.02.2011, 00:16

ну вот "даешь список разрешенных айпи" ето неговорит ниочем.
как их дать вот вопрос?

sspy · 17.02.2011, 00:21

Цитата:

Сообщение от mavook

ну вот "даешь список разрешенных айпи" ето неговорит ниочем.
как их дать вот вопрос?

в инете есть туториалы, все через настройку iptables, но если незнаком с линуксом лучше поставь webmin и делай все в gui

mavook · 17.02.2011, 00:22

это топик для ньюбов по идее в центосах и прочих линуксах.
поставить webmin это еще один геморойный шаг где все пойдет не так =)

inferno[DGT] · 17.02.2011, 00:24

1) Делаешь VPN, либо покупаешь подписку на http://webmastervpn.com
2) Разрешаешь доступ только с этого IP (ну и IP админа можешь добавить на всякий случай)
все, враг не пройдет

смена портов на SSH - бред, насканить новый порт не проблема, только от ботов спасает.

mavook · 17.02.2011, 00:25

Цитата:

Сообщение от inferno[DGT]

1) Делаешь VPN, либо покупаешь подписку на http://webmastervpn.com

А VPN для чего?