Форум успешных вебмастеров - GoFuckBiz.com

  Форум успешных вебмастеров - GoFuckBiz.com > Бизнес-решения > Скрипты, программы и технические решения
Дата
USD/RUB59.2470
BTC/USD0.0000
Скрипты, программы и технические решения Обсуждаем скрипты, программы и новые технологии.

Закрытая тема
Опции темы Опции просмотра
Старый 16.02.2011, 23:53   #1
mavook
Профи Интернет коммерции
 
Аватар для mavook
 
Регистрация: 04.04.2007
Сообщений: 2,345
Бабло: $456525
По умолчанию Защита серверов, на примере CENTOS 5.x

Добрый день есть некое количество серверов на centos, и вот щас в офисе поставили тоже центос как прокси сервер и файлсервер c доступом извне по статик айпи.
Какие методы существуют для защиты серверов от взлома, подбора и прочего. думаю топик пригодится людям и мне в том числе в будущем.
-------
1)Где то тут писали что надо сменить порт sshd с 22 обязательно от перебора.
вопрос как ?
2)какие то стандартные правила для iptables ?\

P.S. Хостерам обязательно стоит проспаммиться в топике.
mavook вне форума  
Старый 17.02.2011, 00:04   #2
KYO
blackseo
 
Аватар для KYO
 
Регистрация: 04.04.2007
Адрес: StandAlone
Сообщений: 1,060
Бабло: $196065
Отправить сообщение для KYO с помощью ICQ
По умолчанию

mavook, бро! в конфиге. на БС же есть топик.
блексео.ком/showthread.php?t=10571

в файле /etc/ssh/sshd_config меняешь "port 22" на "port 37931"
и перезапускаешь так "service sshd restart"
__________________
Возьми домой раненую осу и ты узнаешь, чем платит доброта
KYO вне форума  
Старый 17.02.2011, 00:10   #3
mavook
Профи Интернет коммерции
 
Аватар для mavook
 
Регистрация: 04.04.2007
Сообщений: 2,345
Бабло: $456525
ТС -->
автор темы ТС По умолчанию

Цитата:
Сообщение от KYO Посмотреть сообщение
mavook, бро! в конфиге. на БС же есть топик.
блексео.ком/showthread.php?t=10571

в файле /etc/ssh/sshd_config меняешь "port 22" на "port 37931"
и перезапускаешь так "service sshd restart"
Утром менял несработало, а щас поменял заработало, внимание: ошибка новичка там два файла
ssh_config
и sshd_config
в первом меняем ниче не произойдет
во втором полет нормальный проверил.

ps по iptables правилам кто что подскажет чтобы побанить уродов заранее.
mavook вне форума  
Старый 17.02.2011, 00:11   #4
mavook
Профи Интернет коммерции
 
Аватар для mavook
 
Регистрация: 04.04.2007
Сообщений: 2,345
Бабло: $456525
ТС -->
автор темы ТС По умолчанию

по защите mysqld что подскажет кто?
и не забывайте хостеры, что гфб мегатраст, прям на днях на топ пойдет много нч трафа связанного с защитой серверов. =)
mavook вне форума  
Старый 17.02.2011, 00:13   #5
sspy
главный злодей гофака
 
Аватар для sspy
 
Регистрация: 18.06.2007
Сообщений: 5,299
Бабло: $878553
По умолчанию

Цитата:
#SSH anti brute force
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 600 --hitcount 5 --rttl --name SSH -j DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
это от брута sshd, если нужен тотальный контроль то гляди в сторону IDS (к примеру EasyIDS)
Цитата:
Сообщение от mavook Посмотреть сообщение
по защите mysqld что подскажет кто?
а что там сложного ? даешь список разрешенных ip и вуаля
sspy на форуме  
Старый 17.02.2011, 00:16   #6
mavook
Профи Интернет коммерции
 
Аватар для mavook
 
Регистрация: 04.04.2007
Сообщений: 2,345
Бабло: $456525
ТС -->
автор темы ТС По умолчанию

ну вот "даешь список разрешенных айпи" ето неговорит ниочем.
как их дать вот вопрос?
mavook вне форума  
Старый 17.02.2011, 00:21   #7
sspy
главный злодей гофака
 
Аватар для sspy
 
Регистрация: 18.06.2007
Сообщений: 5,299
Бабло: $878553
По умолчанию

Цитата:
Сообщение от mavook Посмотреть сообщение
ну вот "даешь список разрешенных айпи" ето неговорит ниочем.
как их дать вот вопрос?
в инете есть туториалы, все через настройку iptables, но если незнаком с линуксом лучше поставь webmin и делай все в gui
sspy на форуме  
Старый 17.02.2011, 00:22   #8
mavook
Профи Интернет коммерции
 
Аватар для mavook
 
Регистрация: 04.04.2007
Сообщений: 2,345
Бабло: $456525
ТС -->
автор темы ТС По умолчанию

это топик для ньюбов по идее в центосах и прочих линуксах.
поставить webmin это еще один геморойный шаг где все пойдет не так =)
mavook вне форума  
Старый 17.02.2011, 00:24   #9
inferno[DGT]
Аццкий хостер
 
Аватар для inferno[DGT]
 
Регистрация: 02.05.2007
Адрес: Таиланд, Пхукет
Сообщений: 3,597
Бабло: $1733893508
Отправить сообщение для inferno[DGT] с помощью ICQ Отправить сообщение для inferno[DGT] с помощью AIM Отправить сообщение для inferno[DGT] с помощью Skype™
По умолчанию

1) Делаешь VPN, либо покупаешь подписку на http://webmastervpn.com
2) Разрешаешь доступ только с этого IP (ну и IP админа можешь добавить на всякий случай)
все, враг не пройдет

смена портов на SSH - бред, насканить новый порт не проблема, только от ботов спасает.
__________________
Inferno Solutions: Выделенные серверы и VPS с абсолютно бесплатным администрированием. Более 10 лет с вами. Любые конфигурации под заказ.
inferno[DGT] вне форума  
Старый 17.02.2011, 00:25   #10
mavook
Профи Интернет коммерции
 
Аватар для mavook
 
Регистрация: 04.04.2007
Сообщений: 2,345
Бабло: $456525
ТС -->
автор темы ТС По умолчанию

Цитата:
Сообщение от inferno[DGT] Посмотреть сообщение
1) Делаешь VPN, либо покупаешь подписку на http://webmastervpn.com
А VPN для чего?
mavook вне форума  
Закрытая тема



Опции темы
Опции просмотра