|
| Дата |
|
USD/RUB | 89.2589 | BTC/USD | 68473.6181 |
|
|
|
Скрипты, программы и технические решения Обсуждаем скрипты, программы и новые технологии. |
16.02.2011, 23:53
|
Start Post: Защита серверов, на примере CENTOS 5.x
|
Профи Интернет коммерции
Регистрация: 04.04.2007
Сообщений: 2,338
Бабло: $456535
|
Добрый день есть некое количество серверов на centos, и вот щас в офисе поставили тоже центос как прокси сервер и файлсервер c доступом извне по статик айпи.
Какие методы существуют для защиты серверов от взлома, подбора и прочего. думаю топик пригодится людям и мне в том числе в будущем.
-------
1)Где то тут писали что надо сменить порт sshd с 22 обязательно от перебора.
вопрос как ?
2)какие то стандартные правила для iptables ?\
P.S. Хостерам обязательно стоит проспаммиться в топике.
|
|
|
17.02.2011, 00:25
|
#12
|
главный злодей гофака
Регистрация: 18.06.2007
Сообщений: 5,734
Бабло: $953848
|
Цитата:
Сообщение от mavook
это топик для ньюбов по идее в центосах и прочих линуксах.
поставить webmin это еще один геморойный шаг где все пойдет не так =)
|
тогда по-любому ставить webmin, иначе придется покупать свитер, отращивать бороду и мастерить бубен. Webmin ставится автоматом: качаешь и далее rpm -U webmin*.rpm, дальше все интуитивно понятно.
__________________
|
|
|
17.02.2011, 00:29
|
#13
|
Аццкий хостер
Регистрация: 02.05.2007
Сообщений: 2,926
Бабло: $1733930993
|
Цитата:
Сообщение от mavook
А VPN для чего?
|
на случай того, если у тебя динамический IP
__________________
Inferno Solutions: Выделенные серверы и VPS с абсолютно бесплатным администрированием. Более 19 лет с вами. Любые конфигурации под заказ.
|
|
|
17.02.2011, 01:15
|
#14
|
Senior Member
Регистрация: 10.10.2010
Сообщений: 1,059
Бабло: $126610
|
ещё надо sysctl крутить
усложняет ддос, вычисление операционки + прочие грабли ставит
с такими вопросами "как порт у ссхд сменить" нужен реальный спец., т.к. если крутишь без понимания, *nix отимеет тебя любой своей гайкой
|
|
|
17.02.2011, 01:38
|
#15
|
Senior Member
Регистрация: 11.11.2009
Сообщений: 362
Бабло: $71310
|
Цитата:
Сообщение от inferno[DGT]
1) Делаешь VPN, либо покупаешь подписку на http://webmastervpn.com
2) Разрешаешь доступ только с этого IP (ну и IP админа можешь добавить на всякий случай)
все, враг не пройдет
смена портов на SSH - бред, насканить новый порт не проблема, только от ботов спасает.
|
про ssh knocking слыхал?
Последний раз редактировалось ar4ibas; 17.02.2011 в 01:46.
|
|
|
17.02.2011, 01:47
|
#16
|
Аццкий хостер
Регистрация: 02.05.2007
Сообщений: 2,926
Бабло: $1733930993
|
ar4ibas, для ЧП я вроде написал, что можно добавить IP админа. А через KVM зайти всегда можно, если че. Тут речь шла о простой смене портов. Будешь спорить с моим утверждением, что насканить такой порт не проблема?
Ты не меня учи, а ТС советы давай.
__________________
Inferno Solutions: Выделенные серверы и VPS с абсолютно бесплатным администрированием. Более 19 лет с вами. Любые конфигурации под заказ.
|
|
|
17.02.2011, 01:57
|
#17
|
Senior Member
Регистрация: 11.11.2009
Сообщений: 362
Бабло: $71310
|
Цитата:
Сообщение от inferno[DGT]
ar4ibas, для ЧП я вроде написал, что можно добавить IP админа. А через KVM зайти всегда можно, если че. Тут речь шла о простой смене портов. Будешь спорить с моим утверждением, что насканить такой порт не проблема?
Ты не меня учи, а ТС советы давай.
|
да я не учу просто так чет папездеть захотелось
а насчет топика могу сказать одно: гдето видел статистику взломов серверов, точных цифр не помню но подавляющее большинство взломов производится через веб приложение, т.е через дырявые скрипты которые позволяют инклудить пхп код, sql-injectionы, раскрывать файлы конфигов с паролями к БД итд, заливать файлы и инклудить их. Если исходить из этих данных то нужно сосредоточиться не на ssh а на конфигурировании прав доступов, убрать права на запуск и лишние суиды, применить тот же chrooting, доступ к БД из скриптов не от root'а, selinux, никаких папок с 777 правами, и как обычно сложные пароли нужны, и естественно никакого лишнего софта на серваке, лишний софт - потенциальная дыра, каждый открытый порт и сервис который его слушает это потенциальная дыра.
ТС, сгенерь нормальный пароль для SSH, повесь его на другой порт и запрети доступ от рута, этого вполне будет достаточно
Последний раз редактировалось ar4ibas; 17.02.2011 в 02:03.
|
|
|
17.02.2011, 02:03
|
#18
|
Аццкий хостер
Регистрация: 02.05.2007
Сообщений: 2,926
Бабло: $1733930993
|
ar4ibas, так оно и есть. поменьше папок с левыми правами на запись, в папках которые доступны для записи отключить нахер исполнение php cgi и прочих файлов...
__________________
Inferno Solutions: Выделенные серверы и VPS с абсолютно бесплатным администрированием. Более 19 лет с вами. Любые конфигурации под заказ.
|
|
|
17.02.2011, 02:18
|
#19
|
experienced user xrumer
Регистрация: 25.10.2007
Сообщений: 1,063
Бабло: $89845
|
А как без 777 если скрипт файлы создает в папке?
__________________
i dont want this and they forcing me
|
|
|
17.02.2011, 02:32
|
#20
|
Senior Member
Регистрация: 03.11.2010
Сообщений: 284
Бабло: $65960
|
Чтото про безпарольный доступ никто не написал. Тоже помогает.
|
|
|
17.02.2011, 03:00
|
#21
|
Senior Member
Регистрация: 19.09.2009
Сообщений: 4,078
Бабло: $611825
|
Kola, chmod 755 papka
внутри папки chmod 644 *, если конечно внутри нет директорий
Ну или если не хочется мучится с определением директория или папка, то
chmod -R 755 papka
затем даем доступ той папке, в которую нужно писать chown apache:apache papka_rw
|
|
|
|